Novidades no Windows Server 2019
Este artigo descreve alguns dos novos recursos do Windows Server 2019. O Windows Server 2019 foi criado sobre a base sólida do Windows Server 2016 e traz diversas inovações em quatro temas chave: nuvem híbrida, segurança, plataforma de aplicativos e HCI (infraestrutura hiperconvergente).
Geral
Windows Admin Center
O Windows Admin Center é um aplicativo baseado em navegador e implantado localmente destinado a gerenciar servidores, clusters, infraestrutura hiperconvergente e computadores Windows 10. É fornecido sem custo adicional além do Windows e vem pronto para uso em produção.
Você pode instalar o Windows Admin Center no Windows Server 2019 e no Windows 10, bem como em versões anteriores do Windows e do Windows Server e usá-lo para gerenciar servidores e clusters que executam o Windows Server 2008 R2 e mais recentes.
Para obter mais informações, consulte Windows Admin Center.
Experiência desktop
Como o Windows Server 2019 é uma versão do LTSC (Canal de Manutenção em Longo Prazo), ele inclui a Experiência Desktop. As versões do SAC (Canal Semestral) não incluem a Experiência Desktop por padrão. Elas são exclusivamente versões de imagem de contêiner do Server Core e do Nano Server. Assim como acontece com o Windows Server 2016, durante a configuração do sistema operacional você pode escolher entre instalações do Server Core ou do Windows Server com Experiência Desktop.
Insights do Sistema
O Insights do Sistema é um novo recurso disponível no Windows Server 2019 que reúne funcionalidades locais de análise de previsão de modo nativo no Windows Server. Essas funcionalidades preditivas, cada uma com suporte de um modelo de machine learning, analisam localmente os dados do sistema Windows Server, como contadores de desempenho e eventos. Os Insights do Sistema permitem que você entenda como os servidores estão funcionando e ajuda a reduzir as despesas operacionais associadas ao gerenciamento reativo de problemas nas implantações do Windows Server.
Nuvem Híbrida
Recurso sob demanda de compatibilidade de aplicativos do Server Core
O FOD (recurso sob demanda de compatibilidade de aplicativos do Server Core aprimora significativamente a compatibilidade do aplicativo, incluindo um subconjunto de binários e componentes do Windows Server com a Experiência Desktop. O Server Core é mantido o mais enxuto possível, sem a adição do próprio ambiente gráfico da Experiência Desktop do Windows Server, aumentando a funcionalidade e a compatibilidade.
Esse recurso opcional sob demanda está disponível em um ISO separado e pode ser adicionado somente a imagens e instalações do Windows Server Core, usando o DISM.
Função de servidor de transporte WDS (Serviços de Implantação do Windows) adicionada ao Server Core
O Servidor de transporte contém somente as partes de rede principais do WDS. Agora, você pode usar o Server Core com a função servidor de transporte para criar namespaces multicast que transmitem dados (inclusive imagens do sistema operacional) de um servidor autônomo. Também será possível usá-lo se você desejar ter um servidor PXE que permita aos clientes inicializar o PXE e baixar seu próprio aplicativo de instalação personalizado.
Integração dos Serviços de Área de Trabalho Remota com o Azure AD
Com a integração ao Azure AD, você pode usar as políticas de acesso condicional, a autenticação multifator, a autenticação integrada a outros aplicativos SaaS usando o Azure AD e muito mais. Para obter mais informações, confira Integrar o Azure AD Domain Services à implantação do RDS.
Rede
Fizemos vários aprimoramentos na pilha de rede principal, como TFO (TCP Fast Open), ajuste automático de janela de recebimento, IPv6 e muito mais. Para obter mais informações, confira a postagem Aprimoramento do recurso Pilha de Rede do Core.
VMMQ e VRSS dinâmicos
Antigamente, as Filas de Máquinas Virtuais e as VMMQ (várias filas de máquina virtual) permitiam uma taxa de transferência muito maior para VMs individuais, pois as taxas de transferência de rede atingiam a marca de 10 GbE e além. Infelizmente, o planejamento, a linha de base, o ajuste e o monitoramento necessários para o sucesso tornaram-se um empreendimento muito maior do que os administradores de TI previam.
O Windows Server 2019 melhora essas otimizações distribuindo e ajustando dinamicamente o processamento de cargas de trabalho de rede conforme necessário. O Windows Server 2019 garante a eficiência de pico e remove a carga de configuração para os administradores de TI. Para saber mais, confira Requisitos de rede de host do Azure Stack HCI.
Segurança
Proteção Avançada contra Ameaças do Windows Defender (ATP)
Os sensores de plataforma avançada e as ações de resposta do ATP expõem ataques no nível do kernel e da memória e respondem suprimindo arquivos maliciosos e encerrando processos mal-intencionados.
Para obter mais informações sobre o Windows Defender ATP, consulte Visão geral das funcionalidades do Windows Defender ATP.
Para obter mais informações sobre a integração de servidores, consulte Integrar servidores ao serviço do Windows Defender ATP.
O Windows Defender ATP Exploit Guard é um novo conjunto de funcionalidades de prevenção contra intrusões de host que permite equilibrar o risco de segurança com os requisitos de produtividade. O Windows Defender Exploit Guard foi projetado para bloquear o dispositivo contra uma ampla variedade de vetores de ataque e impedir comportamentos que geralmente são usados em ataques de malware. Os componentes são:
A ASR (Redução da Superfície de Ataque) consiste em um conjunto de controles que as empresas podem habilitar para impedir que malwares alcancem o computador, bloqueando arquivos suspeitos. Por exemplo, arquivos do Office, scripts, movimento lateral, comportamento de ransomware e ameaças baseadas em email.
A Proteção de rede protege o ponto de extremidade contra ameaças baseadas na Web, bloqueando qualquer processo de saída no dispositivo para endereços IP/hosts não confiáveis por meio do Windows Defender SmartScreen.
O Acesso controlado a pastas protege dados confidenciais contra ransomware impedindo que processos não confiáveis acessem suas pastas protegidas.
O Exploit Protection é um conjunto de mitigações para explorações de vulnerabilidade (em substituição ao EMET) que pode ser facilmente configurado para proteger o sistema e seus aplicativos.
O Controle de Aplicativos do Windows Defender (também conhecido como a política de CI [integridade de código]) foi lançado no Windows Server 2016. Facilitamos a implantação incluindo políticas de CI padrão. A política padrão permite todos os arquivos de caixa de entrada do Windows e aplicativos da Microsoft, como o SQL Server, e bloqueia executáveis conhecidos que podem ignorar a CI.
Segurança com SDN (Rede Definida pelo Software)
A Segurança com SDN oferece vários recursos para aumentar a confiança do cliente na execução de cargas de trabalho, seja localmente ou como um provedor de serviços na nuvem.
Essas melhorias de segurança estão integradas à plataforma SDN abrangente introduzida no Windows Server 2016.
Para ver uma lista completa das novidades na SDN, confira Novidades na SDN para o Windows Server 2019.
Melhorias nas máquinas virtuais blindadas
Fizemos as seguintes melhorias nas Máquinas Virtuais Blindadas.
Melhorias nas filiais
Agora, usando os novos recursos de HGS de fallback e modo offline, você pode executar máquinas virtuais blindadas em computadores com conectividade intermitente ao Serviço Guardião de Host. O HGS de fallback permite que você configure um segundo conjunto de URLs para o Hyper-V tentar caso não consiga acessar seu servidor HGS principal.
Mesmo que você não consiga acessar o HGS, o modo offline permite continuar iniciando as VMs blindadas. O modo offline também permite iniciar as VMs desde que elas já tenham sido iniciadas com êxito uma vez e a configuração de segurança do host não tenha sido alterada.
Melhorias na solução de problemas
Também facilitamos o processo para solucionar problemas de VMs blindadas habilitando o suporte para o modo de sessão avançado VMConnect e o PowerShell Direct. Essas ferramentas serão úteis quando você perder a conectividade de rede com a VM e precisar atualizar a configuração para restaurar o acesso. Para saber mais, confira Malha protegida e VMs blindadas.
Não é necessário configurar esses recursos, pois eles são disponibilizados automaticamente quando você coloca uma VM blindada em um host Hyper-V que executa o Windows Server versão 1803 ou mais recente.
Suporte a Linux
Se você executa ambientes com múltiplos sistemas operacionais, agora o Windows Server 2019 oferece suporte para executar o Ubuntu, o Red Hat Enterprise Linux e o SUSE Linux Enterprise Server em máquinas virtuais blindadas.
HTTP/2 para uma Web mais rápida e mais segura
Melhorada a concentração de conexões para oferecer uma experiência de navegação sem interrupções e devidamente criptografada.
Negociação do conjunto de criptografia do lado do servidor do HTTP/2 atualizado para mitigação automática de falhas de conexão e facilidade de implantação.
Alterado nosso provedor de congestionamento TCP padrão para cúbico para oferecer maior taxa de transferência!
Redes criptografadas
A criptografia de rede virtual criptografa o tráfego de rede virtual entre máquinas virtuais dentro de sub-redes que têm o rótulo Criptografia Habilitada. As redes criptografadas também usam o DTLS (Datagrama do protocolo TLS) na sub-rede virtual para criptografar os pacotes. O DTLS protege seus dados contra interceptações, falsificação e adulteração por qualquer pessoa com acesso à rede física.
Para obter mais informações, confira Redes criptografadas.
Auditoria de firewall
A auditoria de firewall é um novo recurso do firewall SDN que registra qualquer fluxo processado por regras de firewall SDN e listas de controle de acesso (ACLs) que têm o log habilitado.
Emparelhamento de rede virtual
O emparelhamento de rede virtual permite conectar duas redes virtuais perfeitamente. Uma vez emparelhadas, as redes virtuais aparecerão no monitoramento como uma só.
Medição de saída
A medição de saída oferece medidores de uso para transferências de dados de saída. O Controlador de Rede usa esse recurso para manter uma lista de permissões de todos os intervalos de IP usados no SDN por rede virtual. Essas listas consideram qualquer pacote que se encaminhe para um destino não incluído nos intervalos de IP listados a serem cobrados como transferências de dados de saída.
Armazenamento
Eis algumas das alterações que fizemos no Armazenamento do Windows Server 2019. O armazenamento também é afetado por atualizações na eliminação de duplicação de dados, particularmente sua atualização para a API DataPort para entrada ou saída otimizada para volumes com eliminação de duplicação.
File Server Resource Manager
Agora é possível impedir que o serviço Gerenciador de Recursos de Servidor de Arquivos crie um diário de alteração (também conhecido como diário USN) em todos os volumes quando o serviço é iniciado. O impedimento da criação do percurso de alteração pode economizar espaço em cada volume, mas desabilita a classificação de arquivos em tempo real. Para obter mais informações, consulte Visão geral do Gerenciador de Recursos de Servidor de Arquivos.
SMB
o Windows Server não instala mais o cliente SMB1 e o servidor por padrão. Além disso, a capacidade de autenticar como um convidado no SMB2 e posterior está desativada por padrão. Para obter mais informações, confira O SMBv1 não é instalado por padrão no Windows 10 versão 1709, Windows Server versão 1709 e versões posteriores.
Agora você pode desabilitar oplocks no SMB2+ para aplicativos herdados. Você também pode exigir assinatura ou criptografia por conexão de um cliente. Para obter mais informações, consulte Ajuda do módulo SMBShare do PowerShell.
Serviço de Migração de Armazenamento
O Serviço de Migração de Armazenamento facilita a migração dos servidores para uma versão mais recente do Windows Server. Essa ferramenta gráfica inventaria dados em servidores e, em seguida, transfere os dados e a configuração para servidores mais recentes. O Serviço de Migração de Armazenamento também pode mover as identidades dos servidores antigos para os novos servidores para que os usuários não precisem reconfigurar seus perfis e aplicativos. Para mais informações, consulte Serviço de Migração de Armazenamento.
O Windows Admin Center versão 1910 acrescentou a capacidade de implantar máquinas virtuais do Azure. Essa atualização integra a implantação da VM do Azure ao Serviço de Migração de Armazenamento. Para obter mais informações, confira Migração de VM do Azure.
Você também pode acessar os seguintes recursos RTM (pós-lançamento para fabricação) ao executar o orquestrador do Servidor de Migração de Armazenamento no Windows Server 2019 com KB5001384 instalado ou no Windows Server 2022:
- Migrar usuários e grupos locais para o novo servidor.
- Migrar o armazenamento de clusters de failover, migrar para clusters de failover e migrar entre servidores autônomos e clusters de failover.
- Migrar o armazenamento de um servidor Linux que usa o Samba.
- Sincronize mais facilmente compartilhamentos migrados ao Azure usando a Sincronização de Arquivos do Azure.
- Migrar para novas redes, como o Azure.
- Migre servidores NetApp Common Internet File System (CIFS) de matrizes NetApp Federated Authentication Service (FAS) para servidores e clusters Windows.
Espaços de Armazenamento Diretos
Veja as novidades nos Espaços de Armazenamento Diretos. Para obter mais informações sobre como adquirir sistemas de Espaços de Armazenamento Diretos validados, confira Visão geral da solução Azure Stack HCI.
Eliminação de duplicação e compactação para volumes do ReFS. O armazenamento de partes de tamanho variável com compactação opcional maximiza as taxas de economia, enquanto a arquitetura de pós-processamento multithread minimiza o impacto no desempenho. Esse recurso aceita volumes de até 64 TB e elimina a duplicação dos primeiros 4 MB de cada arquivo.
Suporte nativo para memória persistente, que permite gerenciar a memória persistente como qualquer outra unidade no PowerShell ou Windows Admin Center. Esse recurso é compatível com módulos de memória persistente Intel Optane DC PM e NVDIMM-N.
Resiliência aninhada para a infraestrutura hiperconvergente dois nós na borda. Com a ajuda de uma nova opção de resiliência de software baseada em RAID 5+1, agora você pode sobreviver a duas falhas de hardware simultaneamente. Um cluster de espaços de armazenamento diretos de dois nós oferecerá armazenamento continuamente acessível para aplicativos e máquinas virtuais, mesmo se um nó de servidor falhar e outro nó de servidor tiver uma falha.
Clusters de dois servidores agora podem usar um pen drive como testemunha. Se um servidor ficar inativo e então for feito backup, o cluster de unidade USB saberá qual servidor tem os dados mais atualizados. Para obter mais informações, confira a postagem do blog do anúncio de Espaços de Armazenamento Diretos e Configurar uma testemunha de compartilhamento de arquivos para Clustering de Failover.
O Windows Admin Center dá suporte a um painel que permite gerenciar e monitorar Espaços de Armazenamento Diretos. Você pode monitorar a latência de IOPS e E/S desde o nível geral do cluster até SSDs ou HDs individuais sem custo adicional. Para saber mais, confira O que é Windows Admin Center?.
O histórico de desempenho é um novo recurso que fornece visibilidade sem esforço da utilização e das medições de recursos. Para saber mais, confira Histórico de desempenho de Espaços de Armazenamento Diretos.
Dimensione até 4 PB por cluster usando uma capacidade de até 64 volumes de até 64 TB. Você pode colar vários clusters em um conjunto de clusters para escala ainda maior em um único namespace de armazenamento.
Utilizando a paridade acelerada por espelhamento, é possível construir volumes de Espaços de Armazenamento Diretos que incorporam estratégias de espelhamento e paridade, semelhantes a uma combinação de RAID-1 e RAID-5/6. A paridade acelerada por espelhamento agora é duas vezes mais rápida do que o Windows Server 2016.
A detecção de exceções de latência de unidade identifica automaticamente unidades lentas no PowerShell e Windows Admin Center com um status de "latência anormal".
Delimitar manualmente a alocação de volumes para aumentar a tolerância a falhas. Para obter mais informações, confira Delimitar a alocação de volumes em Espaços de Armazenamento Diretos.
Réplica de Armazenamento
Eis as novidades na Réplica de Armazenamento.
A Réplica de Armazenamento agora está disponível no Windows Server 2019 Standard Edition e no Windows Server 2019 Datacenter Edition. No entanto, com a Standard Edition, você só pode replicar um volume, e esse volume só pode ir até 2 TB de tamanho.
O failover de teste é um novo recurso que permite montar temporariamente um instantâneo do armazenamento replicado em um servidor de destino para fins de teste ou backup. Para obter mais informações, consulte Perguntas frequentes sobre a Réplica de Armazenamento.
Melhorias no desempenho do log da Réplica de Armazenamento, como taxa de transferência de replicação aprimorada e latência no armazenamento totalmente flash e em clusters de Espaços de Armazenamento Diretos que são replicados entre si.
Suporte ao Windows Admin Center, incluindo gerenciamento gráfico de replicação usando o Gerenciador do Servidor para replicação de servidor para servidor, cluster para cluster e cluster estendido.
Eliminação de duplicação de dados
O Windows Server 2019 agora dá suporte ao ReFS (Sistema de Arquivos Resiliente). O ReFS permite armazenar até dez vezes mais dados no mesmo volume com eliminação de duplicação e compactação para o sistema de arquivos ReFS. O armazenamento de partes de tamanho variável vem com um recurso de compactação opcional que pode maximizar as taxas de economia, enquanto a arquitetura de pós-processamento multithread mantém o impacto mínimo no desempenho. O ReFS dá suporte para volumes de até 64 TB e elimina a duplicação dos primeiros 4 TB de cada arquivo. Para saber mais, confira Como ativar a eliminação de duplicação e a compactação no Windows Admin Center para obter uma demonstração rápida em vídeo.
Clustering de failover
Adicionamos os seguintes recursos ao clustering de failover no Windows Server 2019:
Os conjuntos de clusters reúnem vários clusters em um agrupamento fracamente acoplado de vários clusters de failover que vêm em três tipos: computação, armazenamento e hiperconvergente. Esse agrupamento aumenta o número de servidores em uma única solução de SDDC (datacenter definido por software) além dos limites atuais de um cluster. Com conjuntos de clusters, você pode mover máquinas virtuais online entre clusters dentro do conjunto de clusters. Para obter mais informações, confira Implantar um conjunto de clusters.
Os clusters agora reconhecem o Azure por padrão. Os clusters com reconhecimento do Azure detectam automaticamente quando estão em execução em máquinas virtuais de IaaS do Azure e, em seguida, otimizam a configuração para atingir os níveis mais altos de disponibilidade. Essas otimizações incluem failover proativo e registro em log de eventos de manutenção planejada do Azure. A otimização automatizada simplifica a implantação, eliminando a necessidade de configurar o balanceador de carga com o nome da rede distribuída para o nome do cluster.
A migração de cluster entre domínios permite que os clusters de failover se movam dinamicamente de um domínio do Active Directory para outro, simplificando a consolidação de domínio e permitindo que os parceiros de hardware criem clusters e os associem ao domínio do cliente posteriormente.
O recurso de testemunha USB permite que você use uma unidade USB conectada a um comutador de rede como testemunha na determinação do quorum de um cluster. Esse recurso inclui suporte estendido à Testemunha de Compartilhamento de Arquivos para qualquer dispositivo compatível com SMB2.
O Cache CSV agora fica habilitado por padrão para aumentar o desempenho da máquina virtual. MSDTC agora oferece suporte a Volumes Compartilhados do Cluster, para permitir a implantação de cargas de trabalho MSDTC em espaços de armazenamento diretos, como com o SQL Server. Lógica aprimorada para detectar nós particionados com autorrecuperação para retornar nós à associação de cluster. Detecção de rota de rede do cluster e autorrecuperação avançadas.
A Atualização com Suporte a Cluster (CAU) agora está integrada e tem suporte aos Espaços de Armazenamento Diretos, validando e garantindo que a ressincronização de dados seja concluída em cada nó. O Cluster Aware Updating monitora as atualizações para reiniciar de forma inteligente somente quando necessário. Esse recurso permite reiniciar todos os servidores no cluster para manutenção planejada.
Agora você pode usar testemunhas de compartilhamento de arquivos nos seguintes cenários:
Sem acesso à Internet ou acesso ruim devido ao local remoto, impedindo o uso da testemunha de nuvem.
Inexistência de unidades compartilhadas para uma testemunha de disco. Por exemplo, uma configuração que não usa discos compartilhados, como a configuração hiperconvergente de Espaços de Armazenamento Diretos, AG (Grupos de Disponibilidade) AlwaysOn do SQL Server ou DAG (Grupos de Disponibilidade de Banco de Dados) do Exchange.
Falta de conexão do controlador de domínio devido ao cluster estar atrás de uma DMZ.
Um grupo de trabalho ou cluster entre domínios que não tem um CNO (objeto de nome de cluster) do Active Directory. O Windows Server agora também bloqueia o uso de um compartilhamento de Namespaces DFS como um local. A adição de uma testemunha de compartilhamento de arquivos a um compartilhamento DFS pode causar problemas de estabilidade no cluster. Essa configuração nunca foi suportada. Foi adicionada uma lógica para detectar se um compartilhamento usa namespaces do DFS e, se o uso for detectado, o Gerenciador de Cluster de Failover bloqueará a criação da testemunha e exibirá uma mensagem de erro explicando que isso não é suportado.
Foi implementado um recurso de proteção de cluster que aprimora a segurança da comunicação intra-cluster por protocolo SMB para Volumes Compartilhados de Cluster e Espaços de Armazenamento Diretos. Esse recurso aproveita os certificados para fornecer a plataforma mais segura possível. Ao fazer isso, os Clusters de Failover agora podem operar sem nenhuma dependência do NTLM, o que permite que as linhas de base de segurança sejam estabelecidas.
O Cluster de Failover não usa mais a autenticação NTLM. Em vez disso, os clusters do Windows Server 2019 agora usam exclusivamente Kerberos e autenticação baseada em certificado. Os usuários não precisam fazer alterações ou implantações para aproveitar esse aprimoramento de segurança. Essa alteração também permite implantar clusters de failover em ambientes em que o NTLM está desabilitado.
Plataformas de aplicativos
Contêineres do Linux no Windows
Agora é possível executar contêineres baseados no Windows e no Linux no mesmo host de contêineres usando o mesmo daemon do Docker. Isso permite que você tenha um ambiente heterogêneo de host de contêineres, fornecendo flexibilidade aos desenvolvedores de aplicativos.
Suporte interno para Kubernetes
O Windows Server 2019 continua aprimorando a computação, a rede e o armazenamento dos lançamentos do Canal Semestral necessários para dar suporte a Kubernetes no Windows. Mais detalhes estarão disponíveis em versões futuras do Kubernetes.
A Rede de contêineres no Windows Server 2019 aprimora bastante a usabilidade do Kubernetes no Windows. Aprimoramos a resiliência de rede da plataforma e o suporte a plug-ins de rede de contêiner.
As cargas de trabalho implantadas em Kubernetes são capazes de usar a segurança de rede para proteger serviços do Linux e do Windows usando ferramentas inseridas.
Melhorias de contêiner
Identidade integrada melhorada
Tornamos a autenticação integrada do Windows em contêineres mais fácil e mais confiáveis, corrigindo várias limitações de versões anteriores do Windows Server.
Melhor compatibilidade do aplicativo
Colocar aplicativos baseados no Windows em contêineres acaba de ficar ainda mais fácil: A compatibilidade com aplicativos da imagem existente do windowsservercore foi aumentada. Para aplicativos com mais dependências de API, agora há uma terceira imagem de base: windows.
Tamanho reduzido e melhor desempenho
Os tamanhos de download da imagem de contêiner de base, o tamanho em disco e os horários de inicialização foram aprimorados para acelerar os fluxos de trabalho de contêiner.
Experiência de gerenciamento usando o Windows Admin Center (versão prévia)
Nós tornamos mais fácil que nunca ver quais contêineres estão em execução em seu computador e gerenciar contêineres individuais com uma nova extensão para o Windows Admin Center. Procure a extensão "Contêineres" no feed público do Windows Admin Center.
Aprimoramentos de computação
A Ordenação de Início de VM também foi aprimorada com o reconhecimento de sistema operacional e de aplicativos, oferecendo gatilhos avançados para quando uma VM é considerada iniciada antes que a próxima seja iniciada.
O Suporte de memória da classe de armazenamento para VMs permite que os volumes de acesso direto formatados para NTFS sejam criados em DIMMs não voláteis e expostos às VMs Hyper-V. Agora, as VMs do Hyper-V podem aproveitar o benefício de desempenho de baixa latência de dispositivos de memória da classe de armazenamento.
Suporte à memória persistente para VMs do Hyper-V Para usar a alta taxa de transferência e a baixa latência da memória persistente (também conhecida como memória de classe de armazenamento) em máquinas virtuais, ela agora pode ser projetada diretamente nas VMs. A memória persistente pode ajudar a reduzir radicalmente a latência das transações de banco de dados e reduzir o tempo de recuperação de bancos de dados em memória de baixa latência em caso de falha.
Armazenamento de contêiner – Volumes de dados persistentes Os contêineres de aplicativos agora têm acesso persistente a volumes. Para obter mais informações, confira Suporte ao armazenamento de contêiner com Volumes Compartilhados do Cluster (CSV), Espaços de Armazenamento Diretos (S2D), Mapeamento Global de SMB.
Formato do arquivo de configuração da máquina virtual (atualizado) O arquivo de estado de convidado da VM (
.vmgs
) foi adicionado para máquinas virtuais com a versão de configuração 8.2 ou superior. O arquivo de estado de convidado da VM inclui informações de estado de dispositivo que antes faziam parte do arquivo de estado de tempo de execução da VM.
Redes Criptografadas
Redes Criptografadas – A criptografia de rede Virtual permite a criptografia do tráfego de rede virtual entre máquinas virtuais que se comunicam entre si dentro de sub-redes marcadas como Criptografia Habilitada. Ela também utiliza o DTLS (Datagrama do protocolo TLS) na sub-rede virtual para criptografar os pacotes. O DTLS protege contra interceptações, falsificação e adulteração por qualquer pessoa com acesso à rede física.
Melhorias no desempenho de rede para cargas de trabalho virtuais
As Melhorias no desempenho de rede para cargas de trabalho virtuais maximizam a taxa de transferência de rede para as máquinas virtuais, sem exigir que você ajuste constantemente ou faça um provisionamento excessivo em seu host. O aprimoramento do desempenho reduz os custos de manutenção e das operações, aumentando a densidade disponível dos hosts. Esses novos recursos são:
Fila com várias máquinas virtuais dinâmicas (d.VMMQ)
Receber concentração de segmentos no vSwitch
Transporte em segundo plano com baixo atraso extra
O LEDBAT (Transporte em segundo plano com baixo atraso extra) é um provedor de controle de congestionamento de rede com latência otimizada projetado para gerar automaticamente largura de banda para usuários e aplicativos. O LEDBAT consome a largura de banda disponível enquanto a rede não está em uso. A tecnologia deve ser usada na implantação de grandes atualizações críticas em um ambiente de TI, sem afetar os serviços voltados ao cliente e a largura de banda associada.
Serviço de Tempo do Windows
O Serviço de Tempo do Windows inclui suporte real compatível com UTC a frações de segundos, um novo protocolo de tempo chamado de Protocolo de Tempo de Precisão e rastreabilidade de ponta a ponta.
Gateways SDN de alto desempenho
Os Gateways SDN de alto desempenho no Windows Server 2019 melhoram significativamente o desempenho das conexões IPsec e GRE, fornecendo uma taxa de transferência de altíssimo desempenho com muito menos utilização da CPU.
Nova extensão da interface do usuário de implantação e do Windows Admin Center para SDN
Agora, com o Windows Server 2019, ficou fácil realizar implantação e gerenciamento por meio de uma nova extensão da interface do usuário de implantação e do Windows Admin Center que permitem a qualquer pessoa aproveitar o poder da SDN.
WSL (Subsistema do Windows para Linux)
O WSL permite que os administradores do servidor usem as ferramentas e scripts existentes do Linux no Windows Server. Vários aprimoramentos apresentados no blog de linha de comando agora fazem parte do Windows Server, incluindo tarefas em segundo plano, DriveFS, WSLPath e muito mais.
Serviços de Federação do Active Directory
Os Serviços de Federação do Active Directory (AD FS) para Windows Server 2019 incluem as seguintes alterações.
Entradas protegidas
As entradas protegidas com o AD FS agora incluem as seguintes atualizações:
Os usuários agora podem usar produtos de autenticação de terceiros como o primeiro fator sem expor senhas. Nos casos em que o provedor de autenticação externo pode provar dois fatores, ele pode usar a MFA (autenticação multifator).
Os usuários agora podem usar senhas como um fator extra depois de usar uma opção sem senha como primeiro fator. Esse suporte integrado melhora a experiência geral do AD FS 2016, que exigiu o download de um adaptador GitHub.
Os usuários agora podem criar módulos de avaliação de riscos de plug-in próprios para bloquear determinados tipos de solicitações durante a fase de pré-autenticação. Esse recurso facilita o uso de inteligência de nuvem, como a proteção de identidade para bloquear usuários ou transações suspeitas. Para mais informações, confira Criar plug-ins com o Modelo de Avaliação de Risco do AD FS 2019.
Melhora a QFE (engenharia de correção rápida) do ESL (Extranet Smart Lockout) adicionando os seguintes recursos:
Agora você poderá usar o modo de auditoria enquanto estiver protegido pela funcionalidade clássica de bloqueio de extranet.
Os usuários agora podem usar limites de bloqueio independentes para locais familiares. Esse recurso permite executar várias instâncias de aplicativos em uma conta de serviço comum para rolar senhas com o mínimo de interrupção.
Outros aprimoramentos de segurança
O AD FS 2019 inclui as seguintes melhorias de segurança:
O PowerShell remoto usando a entrada de Cartão Inteligente permite que os usuários se conectem remotamente ao AD FS com Cartões Inteligentes executando comandos do PowerShell. Os usuários também podem usar esse método para gerenciar todas as funções do PowerShell, incluindo cmdlets de vários nós.
A personalização do cabeçalho HTTP permite que os usuários personalizem cabeçalhos HTTP criados durante as respostas do AD FS. A personalização de cabeçalho inclui os seguintes tipos de cabeçalho:
HSTS, que só permite usar pontos de extremidade do AD FS em pontos de extremidade HTTPS para que um navegador compatível seja aplicado.
X-frame-options, que possibilita que administradores do AD FS permitam que partes confiáveis específicas insiram iFrames nas páginas interativas de entrada do AD FS. Você só deve usar esse cabeçalho em hosts HTTPS.
Cabeçalho futuro. Você também pode configurar vários cabeçalhos futuros.
Para obter mais informações, confira Personalizar cabeçalhos de resposta de segurança HTTP com o AD FS 2019.
Funcionalidades de autenticação e política
O AD FS 2019 inclui as seguintes funcionalidades de autenticação e política:
Os usuários agora podem criar regras para especificar qual provedor de autenticação a implantação invoca para autenticação extra. Esse recurso ajuda na transição entre provedores de autenticação e na proteção de aplicativos específicos que têm requisitos especiais para provedores de autenticação extras.
Restrições opcionais para autenticações de dispositivo baseadas em TLS (Transport Layer Security) para que apenas aplicativos que exigem TLS possam usá-las. Os usuários agora podem restringir as autenticações de dispositivo baseadas em TLS de cliente de modo que somente aplicativos com acesso condicional com base no dispositivo possam usá-las. Esse recurso impede solicitações indesejadas de autenticação de dispositivo para aplicativos que não exigem autenticação de dispositivo baseada em TLS.
O AD FS agora dá suporte à capacidade de refazer credenciais de segundo fator com base na atualização delas. Esse recurso permite que os usuários exijam apenas o TFA para a primeira transação e exijam apenas o segundo fator periodicamente. Você só pode usar esse recurso em aplicativos que podem fornecer um parâmetro adicional na solicitação, visto que não é uma definição configurável no AD FS. O Microsoft Entra ID aceitará esse parâmetro se você definir a configuração Lembrar meu MFA por X dias como supportsMFA definido como True nas configurações de confiança de domínio federado do Microsoft Entra ID.
Melhorias de logon único
O AD FS 2019 também inclui as seguintes melhorias de SSO (logon único):
O AD FS agora usa um fluxo de UX paginado e uma interface do usuário centralizada que fornece uma experiência de entrada mais suave para usuários. Essa mudança espelha a funcionalidade oferecida no Azure AD. Talvez seja necessário atualizar o logotipo e as imagens de plano de fundo da organização para se adequar à nova interface do usuário.
Corrigimos um problema que fazia com que o estado de MFA não persistisse ao usar a autenticação PRT (token de atualização primária) em dispositivos Windows 10. Os usuários agora devem precisam fornecer credenciais de segundo fator com menos frequência. A experiência agora deverá ser consistente quando a autenticação do dispositivo for bem-sucedida na autenticação TLS e PRT do cliente.
Suporte para criar aplicativos de linha de negócios modernos
O AD FS 2019 inclui os seguintes recursos para dar suporte à criação de aplicativos de LOB (linha de negócios) modernos:
O AD FS inclui suporte para o perfil de fluxo de dispositivo OAuth para entrar usando dispositivos sem superfície da interface do usuário para dar suporte a experiências de entrada avançadas. Esse recurso permite que os usuários terminem de entrar em um dispositivo diferente. A experiência da CLI (interface de linha de comando) do Azure no Azure Stack requer essa funcionalidade, e você também pode usá-la em outros cenários.
Você não precisa mais do parâmetro Resource para usar o AD FS, que está de acordo com as especificações OAUth atuais. Agora, os clientes só precisam fornecer o identificador do objeto de confiança de terceira parte confiável como o parâmetro de escopo juntamente com as permissões solicitadas.
Você pode usar os cabeçalhos CORS (compartilhamento de recursos entre origens) em respostas do AD FS. Esses novos títulos permitem que os usuários criem aplicativos de página única que permitem que bibliotecas JavaScript do lado do cliente validem a assinatura do id_token consultando as chaves de assinatura do documento de descoberta OIDC (Open ID Connect) no AD FS.
O AD FS inclui suporte a PKCE (chave de prova para troca de código) para fluxo de código de autenticação seguro no OAuth. Essa camada extra de segurança impede que agentes suspeitos sequestrem o código e o reproduzam por meio de outro cliente.
Corrigimos um pequeno problema que fazia com que o AD FS enviasse apenas a declaração x5t. Agora, o AD FS também envia a declaração "kid" para indicar a dica de ID de chave para verificação de assinatura.
Aprimoramentos de capacidade de suporte
Os administradores agora podem configurar o AD FS para permitir que os usuários enviem relatórios de erros e logs de depuração como um arquivo ZIP para solução de problemas. Os administradores também podem configurar uma conexão SMTP para enviar automaticamente o arquivo ZIP para uma conta de email de triagem. Outra configuração permite que os administradores criem automaticamente um tíquete para o sistema de suporte com base nesse e-mail.
Atualizações de implantação
As seguintes atualizações de implantação foram incluídas no AD FS 2019:
- O AD FS tem uma função semelhante à sua versão do Windows Server 2016 que facilita a atualização de farms de servidores do Windows Server 2016 para farms de servidores do Windows Server 2019. Um servidor do Windows Server 2019 adicionado a um farm de servidores do Windows Server 2016 só se comportará como um servidor Windows Server 2016 até que você esteja pronto para atualizar. Para obter mais informações, confira Como atualizar para o AD FS no Windows Server 2016.
Atualizações SAML
O AD FS 2019 inclui as seguintes atualizações da SAML (Security Assertion Markup Language):
Corrigimos problemas no suporte agregado à federação, como InCommon, nestas áreas:
Dimensionamento aprimorado para muitas entidades no documento de metadados federados agregados. Antes, o dimensionamento dessas entidades não seria bem-sucedido e retornaria uma mensagem de erro ADMIN0017.
Agora você pode fazer consultas usando o parâmetro ScopeGroupID executando o cmdlet do PowerShell
Get-AdfsRelyingPartyTrustsGroup
.Processamento aprimorado de condições de erro para valores entityID duplicados.
Especificação de recurso de estilo do Azure AD no parâmetro de escopo
Anteriormente, o AD FS exigia que o recurso e o escopo desejados estivessem em um parâmetro separado em qualquer solicitação de autenticação. Por exemplo, o exemplo de solicitação OAuth a seguir contém um parâmetro scope:
https://fs.contoso.com/adfs/oauth2/authorize?response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
Com o AD FS no Windows Server 2019, você pode passar o valor do recurso inserido no parâmetro de escopo. Essa alteração é consistente com a autenticação no Microsoft Entra ID.
O parâmetro de escopo agora pode ser organizado como uma lista separada por espaço que estrutura cada entidade como como recurso ou escopo.
Observação
Só é possível especificar um recurso na solicitação de autenticação. Se você incluir mais de um recurso na solicitação, o AD FS retornará um erro, e a autenticação não terá êxito.