本来想着整个系列都是与Active Directory相关的内容,上一章节我们应读者要求补充了Window Server 2016标准版与数据中心版的区别,鉴于读者的疑惑,从本章节开始补充三到五章与Windows Server 2016相关内容,希望可以帮到有需要的读者。PS.建议读者们学会学习的方法,学会搜索并消化整理相关知识点是学习技术的第一步,贪多嚼不烂,善于理解并按自己的思路总结相关内容才能不断进步;学习微软相关技术,要学会在docs.microsoft.com(docs.microsoft.com 是面向开发人员和 IT 专业人士的 Microsoft 技术文档、API 参考、代码示例、快速入门和教程的主页)网站找寻自己想要学习的内容。多在51CTO、CSDN、博客园等网站转转,学习方法很重要,这样会有很大的收获。

本章给大家简单整理一下有关Windows Server 2016的新增内容,具体如下:

计算:

常规:由于 Win32 Time 和 Hyper-V 时间同步服务的改进,物理和虚拟计算机从更高的时间准确性中受益。 现在,Windows Server 可以托管与即将推出的要求 UTC 准确性为 1 ms 的规则相容的服务。

Hyper-V

Hyper-v新增和更改的功能(这一块我们放在单独章节);

Windows 容器支持增加了性能改进,简化了网络管理,并在 Windows 10 上支持 Windows 容器。

Nano Server

Nano Server 的新增功能。 Nano Server 具有一个已更新的模块,用于构建 Nano Server 映像,包括物理主机和来宾虚拟机功能的更大分离度,以及对不同 Windows Server 版本的支持。

恢复控制台也有改进,其中包括入站和出站防火墙规则分离及 WinRM 配置修复功能。

受防护的虚拟机

Windows Server 2016 提供新的基于 Hyper-V 的受防护的虚拟机,以保护任何第 2 代虚拟机免受已损坏的构造影响。 Windows Server 2016 中引入的功能如下所示:

新的"支持加密"模式提供比为普通虚拟机提供的更多、但比防护模式少的保护功能,同时仍支持 vTPM、磁盘加密、实时迁移通信加密和其他功能,包括直接构造管理便利(例如虚拟机控制台连接和 Powershell Direct)。

完全支持将现有非受防护的第 2 代虚拟机转换为受防护的虚拟机,包括自动磁盘加密。

Hyper-V 虚拟机管理器现在可以查看授权运行的受防护的虚拟机上的构造,为构造管理员提供了一种打开受防护的虚拟机的密钥保护程序 (KP) 并查看构造是否有权在其上运行的方式。

你可以转换运行的主机保护者服务上的证明模式。 现在你可以即时在不太安全但更简单、基于 Active Directory 的证明和基于 TPM 的证明之间进行切换。

基于 Windows PowerShell 的端到端诊断工具能够检测到受保护的 Hyper-V 主机和主机保护者服务中的错误配置或错误。

恢复环境不仅提供在虚拟机可正常运行的构造中安全地排查故障并修复受防护的虚拟机的方法,还提供与受防护的虚拟机本身相同的保护级别。

主机保护者服务支持现有的安全 Active Directory – 可以指示主机保护者服务使用现有的 Active Directory 林作为其 Active Directory,而不是创建自己的 Active Directory 实例

身份标识和访问控制:

身份标识中的新功能提高了组织保护 Active Directory 环境的能力,并帮助他们迁移到仅限云的部署和混合部署,其中某些应用程序和服务托管在云中,其他的则托管在本地。

Active Directory证书服务:

Windows Server 2016 中的 Active Directory 证书服务 (AD CS) 增加了对 TPM 密钥证明的支持:现可使用智能卡 KSP 进行密钥证明,而未加入域的设备现在可以使用 NDES 注册,以获得可证明 TPM 中密钥的证书。

Active Directory域服务:

Active Directory 域服务包括可帮助组织保护 Active Directory 环境并为公司和个人设备提供更好的标识管理体验的改进。

Active Directory联合身份验证服务:

Active Directory 联合身份验证服务中的新增功能。 Windows Server 2016 中的 Active Directory 联合身份验证服务 (AD FS) 包括使你可以配置 AD FS 以对轻型目录访问协议 (LDAP) 目录中存储的用户进行身份验证的新功能。

Web应用程序代理:

Web 应用程序代理的最新版本专注于为更多应用程序实现发布和预身份验证的新功能以及改进的用户体验。 查看新功能的完整列表,其中包括针对丰富的客户端应用(如 Exchange ActiveSync)的预身份验证以及用于更轻松地发布 SharePoint 应用的通配符域。

管理:

Windows PowerShell 5.1 包含重要的新功能(包括支持使用类进行开发、可扩展其用途的新安全功能),提高其可用性,并允许你更轻松、全面地控制和管理基于 Windows 的环境。

Windows Server 2016 的新增功能包括:在 Nano Server 上本地运行 PowerShell.exe(不再仅限于远程),新增"本地用户和组"cmdlet 来替换 GUI,添加了 PowerShell 调试支持,并添加了对 Nano Server 中安全日志记录和脚本以及 JEA 的支持。

下面是一些其他新管理功能:

Windows Management Framework (WMF) 5中的PowerShell期望状态配置(DSC):

Windows Management Framework 5 包括对 Windows PowerShell 期望状态配置 (DSC)、Windows 远程管理 (WinRM) 和 Windows 管理规范 (WMI) 的更新。

用于软件发现、安装和清单的PackageManagement统一包管理:

Windows Server 2016 和 Windows 10 引入了一种新的 PackageManagement 功能(以前称为 OneGet),该功能可以允许 IT 专业人员或开发人员使软件发现、安装、清单 (SDII) 在本地或远程自动进行,无论安装程序技术为何,也不管软件位于何处。

有助于数字取证和减少安全漏洞的PowerShell增强功能:

为了帮助负责调查受损系统的团队(有时称为"蓝队"),我们已添加其他 PowerShell 日志记录和其他数字取证功能,并且已添加有助于在脚本中减少漏洞的功能,例如受限的 PowerShell 和安全 CodeGeneration API。

网络:

软件定义的网络:

你现在可以将流量映射并传送到新的或现有虚拟设备。 与分布式防火墙和网络安全组联合使用,使你能够以类似于 Azure 的方式动态分段和保护工作负荷。 其次,你可以使用 System Center Virtual Machine Manager 部署并管理整个软件定义的网络 (SDN) 堆栈。 最后,可以使用Docker来管理Windows Server 容器网络,并将SDN策略与虚拟机和容器关联。

TCP 性能改进

默认初始拥塞窗口 (ICW) 已从 4 增加到 10 并已实现 TCP 快速打开 (TFO)。 TFO 减少了建立 TCP 连接所需的时间,并且增加的 ICW 允许在初始突发中传输较大的对象。 此组合可以显著减少在客户端和云之间传输 Internet 对象所需的时间。

当从数据包丢失恢复时,为了改善 TCP 行为,我们实施了 TCP 尾部丢失探测 (TLP) 和最新确认 (RACK)。 TLP 可帮助将转发超时 (RTO) 转换为快速恢复,而 RACK 可减少快速恢复所需的时间,以重新传输丢失的数据包。

安全和保障:

Just Enough Administration:

Windows Server 2016 中的 Just Enough Administration 是一种安全技术,可使能由 Windows PowerShell 管理的任何内容均可进行委派管理。功能包括对在网络标识下运行、通过 PowerShell Direct连接、安全地复制文件到 JEA 终结点或从 JEA 终结点安全地复制文件及配置PowerShell控制台来在 JEA 上下文中默认启动的支持。

Credential Guard:

凭据保护使用基于虚拟化的安全性来隔离密钥,以便只有特权系统软件可以访问它们。

远程Credential Guard:

Credential Guard 包括对 RDP 会话的支持,以便用户凭据能够保留在客户端上,且不会在服务器端暴露。它还提供远程桌面的单一登录体验。

Device Guard(代码完整性):

Device Guard 通过创建指定哪些代码可以在服务器上运行的策略提供内核模式代码完整性 (KMCI) 和用户模式代码完整性 (UMCI)。

Windows Defender:

默认情况下,Windows Server Antimalware已在Windows Server 2016中安装并处于启用状态,但是 Windows Server Antimalware 的用户界面尚未安装。但是,Windows Server Antimalware 会在没有用户界面的情况下更新反恶意软件定义并保护计算机。 如果需要 Windows Server Antimalware 的用户界面,则可以使用"添加角色和功能向导"在操作系统安装之后安装它。

控制流防护:

控制流防护 (CFG) 是一种平台安全功能,旨在防止内存损坏漏洞。

存储:

Windows Server 2016 中的存储包括软件定义存储以及传统文件服务器的新功能和增强功能。

存储空间直通:

存储空间直通允许通过使用具有本地存储的服务器构建高可用性和可缩放存储。 该功能简化了软件定义的存储系统的部署和管理并且允许使用 SATA SSD 和 NVMe 磁盘设备等新型磁盘设备,而之前群集存储空间无法使用共享磁盘。

存储副本:

存储副本可在各个服务器或群集之间实现存储不可知的块级同步复制,以便在站点间进行灾难恢复及故障转移群集扩展。 同步复制支持物理站点中的镜像数据和在崩溃时保持一致的卷,以确保文件系统级别的数据损失为零。 异步复制允许超出都市范围、可能存在数据损失的站点扩展。

服务存储质量(QoS):

现在可以使用存储服务质量 (QoS) 来集中监控端到端存储性能,并使用Windows Server 2016 中的 Hyper-V 和 CSV 群集创建策略。

故障转移群集:

Windows Server 2016 中包括多个服务器的新功能和增强功能,它们使用故障转移群集功能组合到单个容错群集中。

群集操作系统滚动升级:

群集操作系统滚动升级允许管理员将群集节点的操作系统从 Windows Server 2012 R2 升级至 Windows Server 2016,且无需中断 Hyper-V 或横向扩展文件服务器工作负荷。 使用此功能可以避免服务级别协议 (SLA) 的停机时间损失。

云见证:

云见证是 Windows Server 2016 中一种新型的故障转移群集仲裁见证,它将 Microsoft Azure 作为仲裁点。 与其他仲裁见证一样,云见证获取投票,并可以参与仲裁计算。 可以使用"配置群集仲裁向导"将云见证配置为仲裁见证。

运行状况服务

运行状况服务将改进存储空间直通群集上的日常监控、操作和群集资源维护体验。

应用程序开发:

Internet Information Services (IIS) 10.0

在网络堆栈中支持 HTTP/2 协议,并与 IIS 10.0 集成,允许 IIS 10.0 网站针对支持的配置为 HTTP/2 请求自动提供服务。 与 HTTP/1.1 相比,这会有大量的增强功能,例如,更有效地重用连接和减少延迟、提高网页的加载速度。

在 Nano Server 中运行和管理 IIS 10.0 的功能。

支持通配符主机头,使管理员能够为域设置 Web 服务器,然后让 Web 服务器为任何子域的请求提供服务。

一个用于管理 IIS 的新 PowerShell 模块 (IISAdministration)。

分布式事务处理协调器 (MSDTC):

资源管理器可以使用资源管理器重新加入的新界面,以在数据库由于错误重启后确定未决事务的结果。 有关详细信息,请参阅 IResourceManagerRejoinable::Rejoin。

DSN 名称限制从 256 字节扩大到 3072 字节。 有关详细信息,请参阅 IDtcToXaHelperFactory::Create、IDtcToXaHelperSinglePipe::XARMCreate 或 IDtcToXaMapper::RequestNewResourceManager。

利用改进的跟踪功能,你可以设置注册表项以在跟踪日志文件名中包括图像文件路径,以便能够告知要检查的跟踪日志文件。