Windows Server 2016

Windows Server 2016

徠Windows Server 2016是微軟於2016年10月13日正式發布的最新伺服器操作系統。

它在整體的設計風格與功能上更加靠近了Windows 10。Windows Server 2016基於Long-Term Servicing Branch 1607內核開發 ,引入了新的安全層保護用戶數據、控制訪問許可權,增強了彈性計算能力,降低存儲成本並簡化網路,還提供新的方式進行打包、配置、部署、運行、測試和保護應用程序。 

截至2021年1月31日,Windows Server 2016正式版已更新至OS Build 14393.4169版本。

用戶組策略


Windows Server 2016
Windows Server 2016
雖然在Windows Server 2016系統中,微軟官方發布了許多Windows Server 2016新的功能和特性,但是Windows Server 2016在用戶組策略功能上卻與以前的系統版本沒有大的變化。儘管微軟公司有可能在Windows Server 2016和Windows 10中引入一些特殊的組策略功能,但是整個Windows Server 2016組策略架構仍沒有改變。
在Windows Server 2016系統中,系統用戶和用戶組策略,Windows Server 2016管理功能仍然存在(見圖 1)。這些組策略設置許可權可以在域、用戶組織單位OU、站點或本地計算機許可權層級上申請。
Windows Server 2016
Windows Server 2016
圖 1. Windows Server 2016預覽版2中的組策略編輯器
與之前的版本相比,Windows Server 2016系統在組策略配置方式上發生改變。在Windows Server 2016系統中,微軟鼓勵用戶使用最簡便的方式配置伺服器操作系統。Windows Server 2016使用圖形化進行配置管理並不是最優的方式(見圖2)。在Windows Server 2016操作系統安裝選項下的描述中就解釋到:如需考慮需要與以後的系統版本兼容的情況,推薦用戶在安裝Windows Server 2016操作系統的同時,選擇安裝本地管理工具。
Windows Server 2016
Windows Server 2016
圖2. 安裝Windows Server 2016系統時,微軟推薦不要安裝本地管理工具
Windows Server 2016這種安裝方式隨之帶來的問題是:怎樣訪問組策略編譯器。對於不同的Windows Server 2016安裝式,你需要使用不同的Windows Server 2016方法。因為本文測試環境使用的是Windows Server 2016預覽版,所以現在文中用到的方法以後也可能會發生變化。但是如果你已經安裝好了Windows Server 2016本地管理工具軟體,那麼訪問用戶組策略的方式與Windows Server 2012系統下使用的方式相似。
Windows Server 2016
Windows Server 2016
圖3. 這就是Windows Server 2016 預覽版2中的系統管理界面
Windows Server 2016
Windows Server 2016
圖4. 你可以在命令提示界面中使用GPEDIT.MSC命令,以載入用戶策略編輯器。
Windows Server 2016
Windows Server 2016
圖5. 點擊Windows Server 2016瀏覽按鈕,然後選擇你想編輯的組策略
另外一種方法是通過PowerShell命令來編輯管理用戶組策略。在Windows Server 2016中,提供了一個完整的PowerShell軟體模塊用於用戶組策略的管理。但是PowerShell用戶組策略模塊不會被默認安裝,除非Windows Server 2016系統被配置為域控制器或系統中已經安裝用戶組策略管理終端軟體。微軟現在仍沒有發布Windows Server 2016官方文檔,說明在Windows Server 2016系統中哪些條件下,PowerShell用戶組策略功能模塊可用。
當Windows Server 2016系統開始正始發布時,大部份公司很有可能選擇Windows Server 2016遠程管理用戶組策略的方式,而不是選擇安裝Windows Server 2016本地管理工具包。雖然PowerShell也是一種可行的方案,但是在小規模的IT環境中,Windows Server 2016圖形化管理方式明顯更有效率。

網路功能


隨著Windows Server 2016版本的持續發展,是時候考慮改變伺服器網路了。在Windows Server 2016新版本中將會減少對網路訪問保護(NAP)的支持,而Windows Server 2016增加對虛擬網路和網關間的GRE隧道支持,並對DNS客戶端的特性進行了改變。

老舊

在早期的2004年,我們會認為網路訪問保護(NAP)是網路的萬金油。我們可以隔離我們覺得可疑的Windows Server 2016設備,直到認為這些設備滿足了我們的Windows Server 2016規範(更新到最新版本並且打上了最新的補丁),並掃描這些設備讓Windows Server 2016不存在任何惡意程序,之後才能認可這個Windows Server 2016設備並且將這個Windows Server 2016設備下放到我們的網路中來同時賦予所有許可權。我們可以指定某個區域的網路和某個伺服器為修復Windows Server 2016伺服器,在修復Windows Server 2016伺服器上我們可以下載防病毒保護和補丁。即使有個Windows Server 2016供應商帶來了一部很多病毒的筆記本電腦接入網路中,他進行了30分鐘的演講然後便消失得無影無蹤,我們也不用花費3天的時間去收拾殘局(這裡的供應商有時也代表遠程辦公的職員)。
不管是什麼原因,Windows Server 2016 NAP從來沒有達到巔峰,這可能要歸結於以下幾個原因:
• Windows Server 2016NAP從來沒有統一的標準,其中Juniper用一個標準而Cisco用另一個標準。將所有廠家都統計標準是可行的,但是會耗時耗力。
• 其實有很多種方法可以達到相同的目的,比如你可以阻止Windows Server 2016DHCP分配地址,在交換機上執行埠限制,用自定義的訪問控制列表等等。
• 用戶也會反對Windows Server 2016NAP,因為他們不希望他們的電腦在家是能正常使用,而一拿到辦公室卻要耗費大量時間去打補丁。所以Windows Server 2016NAP註定是還沒怎麼存在過就要死去。
哎,如微軟回應一樣,業界已經遠離Windows Server 2016網路訪問檢測和保護。在Windows Server 2016中NAP已經被棄用,而且在未來也不太可能被繼續開發。

GRE支持

隨著很多Windows Server 2016虛擬機被整合併運行在一個主機上以及雲服務的擴張,你的Windows Server 2016虛擬機會在自己的數據中心和公有雲上來迴轉移,因此對公有Windows Server 2016網際網路上的隧道技術支持已經成為了一種必要。各種VPN一般在數據鏈路層工作得挺好,但是要修訂針對Windows Server 2016上多用戶環境,特別在高密度配置下,我們需要使用數據鏈路層以下的(OSI協議)層。
通用路由封裝(GRE),是在Windows Server 2016上使用的一種協議,Windows Server 2016可以封裝OSI協議棧的網路層上的不同協議,Windows Server 2016讓這些封裝后的數據在雲計算中心和你的數據中心中進行數據傳輸。使用GRE后,Windows Server 2016可以在虛擬網路、管理程序和外部網路(包括Internet)之間發送網路層報文。Windows Server 2016GRE是路由器和交換機都能普遍識別的協議,所以Windows Server 2016不需要特殊的硬體等,可能需要的僅僅是重新配置的工作。而且Windows Server 2016是輕量級的,Windows Server 2016能通過Internet連接一個虛擬網路和地理位置離很遠的另一個虛擬網路,並且工作得很好。

DNS更新

當今很多Windows Server 2016伺服器買回來的時候已經配了多塊網卡,有些會在Windows Server 2016伺服器主板上內置類似4口的網卡,有一些是主板內置了一個一口或者雙口的網卡,另外在PCI插槽上配一個單網口卡(很多Dell的伺服器就是這樣的配置模式)。假設所有這些不同的Windows Server 2016網卡都同時連接到網路中來,而且所有的網卡都通過Windows Server 2016DHCP分配或者靜態地得到了稍微不同的DNS伺服器配置,那麼會出現很奇怪的名字解析問題,Windows Server 2016伺服器不知道應該用哪一個Windows Server 2016DNS伺服器來解析名稱。在下一個版本的Windows Server 2016裡面,當任何網卡及其配置的DNS伺服器在做DNS解析的時候,DNS client服務會對這塊網卡進行綁定。這樣可以解決很多異常的現象,特別是Windows Server 2016伺服器上運行了很多虛擬機和承載了很多網路流量的時候,這也清理了一些時不時出現又很難排查和修復的問題。
此外,如果你使用組策略去部署名稱解析策略表(NRPT)的話,Windows Server 2016DNS客戶端是不會對網卡進行上述綁定的。一般來說Windows Server 2016NRPT使用在大型的企業網中,而且默認是關閉的,所以如果你沒有設置Windows Server 2016NRPT,就不用擔心這個問題。
免費升級
微軟日前推出Windows Server 2016免費升級計劃:在9月1日至明年6月30日間,從VMware轉用Hyper-V的用戶,只需支付軟體保證費用,就可以免費使用新版Windows Server 2016操作系統。另外,微軟也預告Windows Server 2016和System Center 2016將在9月推出。

發展歷程


2014年10月2日,微軟推出了Windows Server 2016的技術預覽版,數據中心版以及Hyper-V版。 
2015年5月4日,微軟在Ignite 2015年度技術大會上發布了Windows Server 2016第二個技術預覽版。 
2015年8月20日,微軟推出了Windows Server 2016第三個技術預覽版。 
2015年11月20日,微軟推出了Windows Server 2016第四個技術預覽版。 
2016年10月13日,微軟正式發布了Windows Server 2016。 

系統功能


虛擬化
綜述
Windows Server 2016提供的虛擬化區域包括適用於IT專業人員的虛擬化產品和功能,以設計、部署和維護Windows Server。 
Hyper-V
Windows Server 2016上的Hyper-V具有兼容Connected Standby模式、分配離散設備、支持第1代虛擬機中的操作系統磁碟的加密支持、保護主機資源、網路適配器和內存的熱添加和刪除、Linux安全啟動、嵌套虛擬化等功能。 
Nano Server
Windows Server 2016上的Nano Server具有一個已更新的模塊,用於構建Nano Server映像,包括物理主機和來賓虛擬機功能的更大分離度,以及對不同Windows Server版本的支持。恢復控制台也有改進,其中包括入站和出站防火牆規則分離及WinRM配置修復功能。 利用Emergency Management Console,用戶可以直接從Nano Server控制台中查看和修復網路配置;藉助新的PowerShell腳本,用戶可以創建一個Nano Azure虛擬機。 
受防護的虛擬機
Windows Server 2016提供新的基於Hyper-V的受防護的虛擬機,以保護第2代虛擬機免受已損壞的構造影響。引入了新的“支持加密”模式,完全支持將現有非受防護的第2代虛擬機轉換為受防護的虛擬機,包括自動磁碟加密。Hyper-V虛擬機管理器可以查看授權運行的受防護的虛擬機上的構造,為構造管理員提供了一種打開受防護的虛擬機的密鑰保護程序 (KP) 並查看構造是否有權在其上運行的方式。還有基於Windows PowerShell的端到端診斷工具等。 
訪問安全
綜述
Active Directory 證書服務
Windows Server 2016身份標識中的新功能提高了組織保護Active Directory環境的能力,並幫助它們遷移到僅限雲的部署和混合部署,其中某些應用程序和服務託管在雲中,其它的則託管在本地。 
Active Directory 證書服務
Windows Server 2016中的Active Directory證書服務增加了對 TPM 密鑰證明的支持,可使用智能卡KSP進行密鑰證明,而未加入域的設備可以使用NDES註冊,以獲得可證明TPM中密鑰的證書。 
Active Directory 域服務
Windows Server 2016中的Active Directory域服務新增了特權訪問管理、通過Azure Active Directory聯接將雲功能擴展到Windows 10設備、將已加入域的設備連接到Windows 10體驗Azure AD、在組織中啟用Microsoft Passport for Work等功能,提高了組織保護 Active Directory 環境安全的能力。 
Active Directory 聯合身份驗證服務
Windows Server 2016中的Active Directory聯合身份驗證服務跨多種應用程序(包括 Office 365、基於雲的 SaaS 應用程序以及企業網路上的應用程序)提供訪問控制和單一登錄。對於IT組織,它能夠基於同一組憑據和策略在本地和雲中為新式和傳統應用程序提供登錄和訪問控制;對於用戶,它使用相同且熟悉的帳戶憑據提供無縫登錄;對於開發人員,它提供了一種簡單的方法來對其身份位於組織目錄中的用戶進行身份驗證。 
Web 應用程序代理
網站部署
Windows Server 2016中的Web應用程序代理新增了適用於HTTP基本應用程序發布的預身份驗證、應用程序的部 URL可以包含通配符、HTTP到HTTPS的重定向、發布遠程桌面網關應用、將客戶端IP地址傳播到後端應用程序等功能。 
系統管理
綜述
Windows Server 2016新增支持在Nano Server上本地運行PowerShell.exe(不再僅限於遠程)、新增“本地用戶和組”Cmdlet來替換 GUI、添加了PowerShell調試支持、添加了對Nano Server中安全日誌記錄和腳本以及JEA的支持等功能。 
PackageManagement
Windows Server 2016引入了一種新的PackageManagement功能(以前稱為 OneGet),該功能可以允許IT專業人員或開發人員使軟體發現、安裝、清單(SDII)在本地或遠程自動進行,無論安裝程序技術為何,也不管軟體位於何處。 
PowerShell 增強
Windows Server 2016添加了其它PowerShell日誌記錄和其他數字取證功能,並且已添加有助於在腳本中減少漏洞的功能,例如受限的PowerShell和安全 CodeGeneration API。 
網路
軟體定義的網路
徠Windows Server 2016可以將流量映射並傳送到新的或現有虛擬設備。與分散式防火牆和網路安全組聯合使用,可以以類似於Azure的方式動態分段和保護工作負荷。其次,可以使用System Center Virtual Machine Manager部署並管理整個軟體定義的網路 (SDN) 堆棧。最後,可以使用Docker來管理Windows Server容器網路,並將SDN策略與虛擬機和容器關聯。 
TCP 性能改進
Windows Server 2016將默認初始擁塞窗口(ICW)從4增加到10,並已實現TCP快速打開(TFO)。TFO減少了建立TCP連接所需的時間,並且增加的ICW允許在初始突發中傳輸較大的對象。此組合可以顯著減少在客戶端和雲之間傳輸Internet對象所需的時間。 
安全保障
Just Enough Administration
Windows Server 2016中的Just Enough Administration是一種安全技術,可使能由Windows PowerShell管理的任何內容均可進行委派管理。該功能包括對在網路標識下運行、通過PowerShell Direct連接、安全地複製文件到JEA終結點或從JEA終結點安全地複製文件、配置PowerShell控制台來在JEA上下文中默認啟動的支持。 
啟用Windows Defender Credential
Credential Guard
Windows Server 2016中的憑據保護功能(Credential Guard)使用基於虛擬化的安全性來隔離密鑰,以便只有特權系統軟體可以訪問它們。還包括對RDP會話的支持,以便用戶憑據能夠保留在客戶端上,且不會在伺服器端暴露。 
控制流防護
Windows Server 2016中的控制流防護(CFG)是一種平台安全功能,旨在防止或消除內存損壞漏洞。它通過對應用程序從何處執行代碼施加嚴格的限制,漏洞利用程序將難以通過緩衝區溢出等漏洞執行任意代碼。
故障轉移
Windows Server 2016中含有使用故障轉移群集功能組合到單個容錯群集中等多個新功能和增強功能,包括了群集操作系統滾動升級、存儲副本、雲見證、虛擬機復原、故障轉移群集中的診斷改進、站點感知故障轉移群集、工作組和多域群集、虛擬機負載平衡與啟動順序以及簡化的SMB多通道和多NIC群集網路等。

系統版本


版本介紹
Windows Server 2016可以提供高經濟效益與高度虛擬化的環境,包括3個主要版本:
● Datacenter Edition(數據中心版):適用於高度虛擬化和軟體定義數據中心環境。
● Standard Edition(標準版):適用於低密度或非虛擬化的環境。
● Essentials Edition(基本版):適用於最多25個用戶,最多50台設備的小型企業。 
版本區別
功能Windows Server 2016 StandardWindows Server 2016 Datacenter
可用作虛擬化主機支持;每個許可證允許運行 2 台虛擬機以及一台 Hyper-V 主機支持;每個許可證允許運行無限台虛擬機以及一台 Hyper-V 主機
Hyper-V支持支持;包括受防護的虛擬機
網路控制器不支持支持
容器支持(Windows 容器無限制;Hyper-V 容器最多為 2 個)支持(所有容器類型均無限制)
主機保護對Hyper-V支持不支持支持
軟體負載平衡器不支持支持
存儲副本不支持支持
軟體定義的網路不支持支持
Storage Spaces Direct不支持支持
繼承激活支持(託管於數據中心時作為訪客)支持(可以是主機或訪客)
(註:本表格僅列出版本差異化內容,參考資料: )
安裝選項
對於Standard和Datacenter版本,有三個安裝選項:
● ● 具有桌面體驗的伺服器(Server with Desktop Experience):該安裝選項為那些需要運行需要本地UI的應用程序或遠程桌面服務主機的用戶提供了理想的用戶體驗。此選項具有完整的Windows客戶端外殼和體驗,與Windows 10周年版長期服務分支(LTSB)一致,並且伺服器本地提供了伺服器Microsoft管理控制台和伺服器管理器工具。
● ● 伺服器核心(Server Core):該安裝選項從伺服器上刪除了客戶端UI,從而提供了在輕型安裝中運行大多數角色和功能的安裝。Server Core不包括可遠程使用的MMC或Server Manager,但包括有限的本地圖形工具,例如Task Manager以及用於本地或遠程管理的PowerShell。
● ● Nano Server:該安裝選項提供了理想的輕量級操作系統,以基於容器和微服務運行“雲原生”應用程序。它也可以用於運行敏捷且具有成本效益的數據中心,而其OS佔用空間卻大大減小。由於它是伺服器操作系統的輕鬆安裝,因此可以通過Core PowerShell,基於Web的伺服器管理工具或現有的遠程管理工具遠程完成管理。 
版本更新
開發階段版本發布日期版本發布日期
技術預覽版第一版2014年10月2日第三版2015年8月20日
第二版2015年5月4日第四版2015年11月20日
正式版OS Build 14393.102016年8月2日OS Build 14393.23962018年7月30日
OS Build 14393.512016年8月9日OS Build 14393.24302018年8月14日
OS Build 14393.822016年8月23日OS Build 14393.24572018年8月30日
OS Build 14393.1052016年8月31日OS Build 14393.24852018年9月11日
OS Build 14393.1872016年9月13日OS Build 14393.25152018年9月20日
OS Build 14393.1892016年9月13日OS Build 14393.25512018年10月9日
OS Build 14393.1872016年9月20日OS Build 14393.25802018年10月18日
OS Build 14393.1892016年9月20日OS Build 14393.26082018年11月13日
OS Build 14393.2222016年9月29日OS Build 14393.26392018年11月27日
OS Build 14393.3212016年10月11日OS Build 14393.26412018年12月3日
OS Build 14393.3512016年10月27日OS Build 14393.26652018年12月11日
OS Build 14393.4472016年11月8日OS Build 14393.26702018年12月19日
OS Build 14393.4482016年11月9日OS Build 14393.27242019年1月8日
OS Build 14393.4792016年12月9日OS Build 14393.27592019年1月17日
OS Build 14393.5712016年12月13日OS Build 14393.27912019年2月12日
OS Build 14393.6932017年1月10日OS Build 14393.28282019年2月19日
OS Build 14393.7262017年1月26日OS Build 14393.28482019年3月12日
OS Build 14393.7292017年1月30日OS Build 14393.28792019年3月19日
OS Build 14393.9532017年3月14日OS Build 14393.29062019年4月9日
OS Build 14393.9692017年3月20日OS Build 14393.29412019年4月25日
OS Build 14349.9702017年3月22日OS Build 14393.29692019年5月14日
OS Build 14393.10662017年4月11日OS Build 14393.29722019年5月19日
OS Build 14393.10832017年4月11日OS Build 14393.29992019年5月23日
OS Build 14393.11982017年5月9日OS Build 14393.30252019年6月11日
OS Build 14393.12302017年5月26日OS Build 14393.30532019年6月18日
OS Build 14393.13582017年6月13日OS Build 14393.30562019年6月27日
OS Build 14393.13782017年6月27日OS Build 14393.30852019年7月9日
OS Build 14393.14802017年7月11日OS Build 14393.31152019年7月16日
OS Build 14393.15322017年7月18日OS Build 14393.31442019年8月13日
OS Build 14393.15372017年8月7日OS Build 14393.31812019年8月17日
OS Build 14393.15932017年8月8日OS Build 14393.32042019年9月10日
OS Build 14393.16132017年8月16日OS Build 14393.32062019年9月23日
OS Build 14393.16702017年8月28日OS Build 14393.32422019年9月24日
OS Build 14393.17152017年9月12日OS Build 14393.32432019年10月3日
OS Build 14393.17372017年9月28日OS Build 14393.32742019年10月8日
OS Build 14393.17702017年10月10日OS Build 14393.33002019年10月15日
OS Build 14393.17942017年10月17日OS Build 14393.33262019年11月12日
OS Build 14393.17972017年11月2日OS Build 14393.33842019年12月10日
OS Build 14393.18842017年11月14日OS Build 14393.34432020年1月14日
OS Build 14393.19142017年11月27日OS Build 14393.34742020年1月23日
OS Build 14393.19442017年12月12日OS Build 14393.35042020年2月11日
OS Build 14393.20072018年1月3日OS Build 14393.35422020年2月25日
OS Build 14393.20342018年1月17日OS Build 14393.35642020年3月10日
OS Build 14393.20682018年2月13日OS Build 14393.35952020年3月17日
OS Build 14393.20972018年2月22日OS Build 14393.36302020年4月14日
OS Build 14393.21252018年3月13日OS Build 14393.36592020年4月21日
OS Build 14393.21262018年3月13日OS Build 14393.36862020年5月12日
OS Build 14393.21552018年3月22日OS Build 14393.37502020年6月9日
OS Build 14393.21562018年3月29日OS Build 14393.37552020年6月18日
OS Build 14393.21892018年4月10日OS Build 14393.38082020年7月14日
OS Build 14393.22142018年4月17日OS Build 14393.38662020年8月11日
OS Build 14393.22482018年5月8日OS Build 14393.39302020年9月8日
OS Build 14393.22732018年5月17日OS Build 14393.39862020年10月13日
OS Build 14393.23122018年6月12日OS Build 14393.40462020年11月10日
OS Build 14393.23392018年6月21日OS Build 14393.40482020年11月19日
OS Build 14393.23632018年7月10日OS Build 14393.41042020年12月8日
OS Build 14393.23682018年7月16日OS Build 14393.41692021年1月12日
OS Build 14393.23952018年7月24日
(表格內容從左至右列,參考資料: )

硬體要求


硬體配置要求
處理器1.4 GHz 64 位處理器
與 x64 指令集兼容
支持 NX 和 DEP
支持 CMPXCHG16b、LAHF/SAHF 和 PrefetchW
支持二級地址轉換(EPT 或 NPT)
RAM512 MB(對於帶桌面體驗的伺服器安裝選項為 2 GB)
ECC(糾錯代碼)類型或類似技術
存儲控制器符合 PCI Express 體系結構規範的存儲適配器
硬碟驅動器的永久存儲設備不能為 PATA
不允許將 ATA/PATA/IDE/EIDE 用於啟動驅動器、頁面驅動器或數據驅動器
磁碟空間32 GB(絕對最低值)
網路適配器至少有千兆位吞吐量的乙太網適配器
符合 PCI Express 體系結構規範
支持預啟動執行環境(PXE)
其他DVD 驅動器(如果要從 DVD 媒體安裝操作系統)
不嚴格需要,但某些特定功能需要的基於 UEFI 2.3.1c 的系統和支持安全啟動的固件
受信任的平台模塊
支持超級 VGA (1024 x 768) 或更高解析度的圖形設備和監視器
鍵盤和滑鼠(或其他兼容的指針設備)
Internet 訪問(可能需要付費)
(參考資料: )

系統評價


Windows Server 2016容器應用開發創建了高度靈活的Windows Server環境,幫助用戶加速開發及運營流程,實現現代化應用的高效開發和部署。數百萬Windows開發者將體驗到容器技術帶來的優勢,而這一切都建立在開發者可以自行選擇開發語言的基礎之上——不論是.NET、ASP.NET、PowerShell、Python、Ruby on Rails、Java或是其他。(IT之家評)