Windows Server 2016

雖然在Windows Server 2016系統中，微軟官方發布了許多Windows Server 2016新的功能和特性，但是Windows Server 2016在用戶組策略功能上卻與以前的系統版本沒有大的變化。儘管微軟公司有可能在Windows Server 2016和Windows 10中引入一些特殊的組策略功能，但是整個Windows Server 2016組策略架構仍沒有改變。

在Windows Server 2016系統中，系統用戶和用戶組策略，Windows Server 2016管理功能仍然存在（見圖 1）。這些組策略設置許可權可以在域、用戶組織單位OU、站點或本地計算機許可權層級上申請。

圖 1. Windows Server 2016預覽版2中的組策略編輯器

與之前的版本相比，Windows Server 2016系統在組策略配置方式上發生改變。在Windows Server 2016系統中，微軟鼓勵用戶使用最簡便的方式配置伺服器操作系統。Windows Server 2016使用圖形化進行配置管理並不是最優的方式（見圖2）。在Windows Server 2016操作系統安裝選項下的描述中就解釋到：如需考慮需要與以後的系統版本兼容的情況，推薦用戶在安裝Windows Server 2016操作系統的同時，選擇安裝本地管理工具。

圖2. 安裝Windows Server 2016系統時，微軟推薦不要安裝本地管理工具

Windows Server 2016這種安裝方式隨之帶來的問題是：怎樣訪問組策略編譯器。對於不同的Windows Server 2016安裝式，你需要使用不同的Windows Server 2016方法。因為本文測試環境使用的是Windows Server 2016預覽版，所以現在文中用到的方法以後也可能會發生變化。但是如果你已經安裝好了Windows Server 2016本地管理工具軟體，那麼訪問用戶組策略的方式與Windows Server 2012系統下使用的方式相似。

圖3. 這就是Windows Server 2016 預覽版2中的系統管理界面

圖4. 你可以在命令提示界面中使用GPEDIT.MSC命令，以載入用戶策略編輯器。

圖5. 點擊Windows Server 2016瀏覽按鈕，然後選擇你想編輯的組策略

另外一種方法是通過PowerShell命令來編輯管理用戶組策略。在Windows Server 2016中，提供了一個完整的PowerShell軟體模塊用於用戶組策略的管理。但是PowerShell用戶組策略模塊不會被默認安裝，除非Windows Server 2016系統被配置為域控制器或系統中已經安裝用戶組策略管理終端軟體。微軟現在仍沒有發布Windows Server 2016官方文檔，說明在Windows Server 2016系統中哪些條件下，PowerShell用戶組策略功能模塊可用。

當Windows Server 2016系統開始正始發布時，大部份公司很有可能選擇Windows Server 2016遠程管理用戶組策略的方式，而不是選擇安裝Windows Server 2016本地管理工具包。雖然PowerShell也是一種可行的方案，但是在小規模的IT環境中，Windows Server 2016圖形化管理方式明顯更有效率。

隨著Windows Server 2016版本的持續發展，是時候考慮改變伺服器網路了。在Windows Server 2016新版本中將會減少對網路訪問保護（NAP）的支持，而Windows Server 2016增加對虛擬網路和網關間的GRE隧道支持，並對DNS客戶端的特性進行了改變。

在早期的2004年，我們會認為網路訪問保護（NAP）是網路的萬金油。我們可以隔離我們覺得可疑的Windows Server 2016設備，直到認為這些設備滿足了我們的Windows Server 2016規範（更新到最新版本並且打上了最新的補丁），並掃描這些設備讓Windows Server 2016不存在任何惡意程序，之後才能認可這個Windows Server 2016設備並且將這個Windows Server 2016設備下放到我們的網路中來同時賦予所有許可權。我們可以指定某個區域的網路和某個伺服器為修復Windows Server 2016伺服器，在修復Windows Server 2016伺服器上我們可以下載防病毒保護和補丁。即使有個Windows Server 2016供應商帶來了一部很多病毒的筆記本電腦接入網路中，他進行了30分鐘的演講然後便消失得無影無蹤，我們也不用花費3天的時間去收拾殘局（這裡的供應商有時也代表遠程辦公的職員）。

不管是什麼原因，Windows Server 2016 NAP從來沒有達到巔峰，這可能要歸結於以下幾個原因：

• Windows Server 2016NAP從來沒有統一的標準，其中Juniper用一個標準而Cisco用另一個標準。將所有廠家都統計標準是可行的，但是會耗時耗力。

• 其實有很多種方法可以達到相同的目的，比如你可以阻止Windows Server 2016DHCP分配地址，在交換機上執行埠限制，用自定義的訪問控制列表等等。

• 用戶也會反對Windows Server 2016NAP，因為他們不希望他們的電腦在家是能正常使用，而一拿到辦公室卻要耗費大量時間去打補丁。所以Windows Server 2016NAP註定是還沒怎麼存在過就要死去。

哎，如微軟回應一樣，業界已經遠離Windows Server 2016網路訪問檢測和保護。在Windows Server 2016中NAP已經被棄用，而且在未來也不太可能被繼續開發。

隨著很多Windows Server 2016虛擬機被整合併運行在一個主機上以及雲服務的擴張，你的Windows Server 2016虛擬機會在自己的數據中心和公有雲上來迴轉移，因此對公有Windows Server 2016網際網路上的隧道技術支持已經成為了一種必要。各種VPN一般在數據鏈路層工作得挺好，但是要修訂針對Windows Server 2016上多用戶環境，特別在高密度配置下，我們需要使用數據鏈路層以下的（OSI協議）層。

通用路由封裝（GRE），是在Windows Server 2016上使用的一種協議，Windows Server 2016可以封裝OSI協議棧的網路層上的不同協議，Windows Server 2016讓這些封裝后的數據在雲計算中心和你的數據中心中進行數據傳輸。使用GRE后，Windows Server 2016可以在虛擬網路、管理程序和外部網路（包括Internet）之間發送網路層報文。Windows Server 2016GRE是路由器和交換機都能普遍識別的協議，所以Windows Server 2016不需要特殊的硬體等，可能需要的僅僅是重新配置的工作。而且Windows Server 2016是輕量級的，Windows Server 2016能通過Internet連接一個虛擬網路和地理位置離很遠的另一個虛擬網路，並且工作得很好。

當今很多Windows Server 2016伺服器買回來的時候已經配了多塊網卡，有些會在Windows Server 2016伺服器主板上內置類似4口的網卡，有一些是主板內置了一個一口或者雙口的網卡，另外在PCI插槽上配一個單網口卡（很多Dell的伺服器就是這樣的配置模式）。假設所有這些不同的Windows Server 2016網卡都同時連接到網路中來，而且所有的網卡都通過Windows Server 2016DHCP分配或者靜態地得到了稍微不同的DNS伺服器配置，那麼會出現很奇怪的名字解析問題，Windows Server 2016伺服器不知道應該用哪一個Windows Server 2016DNS伺服器來解析名稱。在下一個版本的Windows Server 2016裡面，當任何網卡及其配置的DNS伺服器在做DNS解析的時候，DNS client服務會對這塊網卡進行綁定。這樣可以解決很多異常的現象，特別是Windows Server 2016伺服器上運行了很多虛擬機和承載了很多網路流量的時候，這也清理了一些時不時出現又很難排查和修復的問題。

此外，如果你使用組策略去部署名稱解析策略表（NRPT）的話，Windows Server 2016DNS客戶端是不會對網卡進行上述綁定的。一般來說Windows Server 2016NRPT使用在大型的企業網中，而且默認是關閉的，所以如果你沒有設置Windows Server 2016NRPT，就不用擔心這個問題。

免費升級

微軟日前推出Windows Server 2016免費升級計劃：在9月1日至明年6月30日間，從VMware轉用Hyper-V的用戶，只需支付軟體保證費用，就可以免費使用新版Windows Server 2016操作系統。另外，微軟也預告Windows Server 2016和System Center 2016將在9月推出。

2014年10月2日，微軟推出了Windows Server 2016的技術預覽版，數據中心版以及Hyper-V版。 

2015年5月4日，微軟在Ignite 2015年度技術大會上發布了Windows Server 2016第二個技術預覽版。 

2015年8月20日，微軟推出了Windows Server 2016第三個技術預覽版。 

2015年11月20日，微軟推出了Windows Server 2016第四個技術預覽版。 

2016年10月13日，微軟正式發布了Windows Server 2016。 

虛擬化

綜述

Windows Server 2016提供的虛擬化區域包括適用於IT專業人員的虛擬化產品和功能，以設計、部署和維護Windows Server。 

Hyper-V

Windows Server 2016上的Hyper-V具有兼容Connected Standby模式、分配離散設備、支持第1代虛擬機中的操作系統磁碟的加密支持、保護主機資源、網路適配器和內存的熱添加和刪除、Linux安全啟動、嵌套虛擬化等功能。 

Nano Server

Windows Server 2016上的Nano Server具有一個已更新的模塊，用於構建Nano Server映像，包括物理主機和來賓虛擬機功能的更大分離度，以及對不同Windows Server版本的支持。恢復控制台也有改進，其中包括入站和出站防火牆規則分離及WinRM配置修復功能。 利用Emergency Management Console，用戶可以直接從Nano Server控制台中查看和修復網路配置；藉助新的PowerShell腳本，用戶可以創建一個Nano Azure虛擬機。 

受防護的虛擬機

Windows Server 2016提供新的基於Hyper-V的受防護的虛擬機，以保護第2代虛擬機免受已損壞的構造影響。引入了新的“支持加密”模式，完全支持將現有非受防護的第2代虛擬機轉換為受防護的虛擬機，包括自動磁碟加密。Hyper-V虛擬機管理器可以查看授權運行的受防護的虛擬機上的構造，為構造管理員提供了一種打開受防護的虛擬機的密鑰保護程序 (KP) 並查看構造是否有權在其上運行的方式。還有基於Windows PowerShell的端到端診斷工具等。 

訪問安全

綜述

Active Directory 證書服務

Windows Server 2016身份標識中的新功能提高了組織保護Active Directory環境的能力，並幫助它們遷移到僅限雲的部署和混合部署，其中某些應用程序和服務託管在雲中，其它的則託管在本地。 

Active Directory 證書服務

Windows Server 2016中的Active Directory證書服務增加了對 TPM 密鑰證明的支持，可使用智能卡KSP進行密鑰證明，而未加入域的設備可以使用NDES註冊，以獲得可證明TPM中密鑰的證書。 

Active Directory 域服務

Windows Server 2016中的Active Directory域服務新增了特權訪問管理、通過Azure Active Directory聯接將雲功能擴展到Windows 10設備、將已加入域的設備連接到Windows 10體驗Azure AD、在組織中啟用Microsoft Passport for Work等功能，提高了組織保護 Active Directory 環境安全的能力。 

Active Directory 聯合身份驗證服務

Windows Server 2016中的Active Directory聯合身份驗證服務跨多種應用程序（包括 Office 365、基於雲的 SaaS 應用程序以及企業網路上的應用程序）提供訪問控制和單一登錄。對於IT組織，它能夠基於同一組憑據和策略在本地和雲中為新式和傳統應用程序提供登錄和訪問控制；對於用戶，它使用相同且熟悉的帳戶憑據提供無縫登錄；對於開發人員，它提供了一種簡單的方法來對其身份位於組織目錄中的用戶進行身份驗證。 

Web 應用程序代理

網站部署

Windows Server 2016中的Web應用程序代理新增了適用於HTTP基本應用程序發布的預身份驗證、應用程序的部 URL可以包含通配符、HTTP到HTTPS的重定向、發布遠程桌面網關應用、將客戶端IP地址傳播到後端應用程序等功能。 

系統管理

綜述

Windows Server 2016新增支持在Nano Server上本地運行PowerShell.exe（不再僅限於遠程）、新增“本地用戶和組”Cmdlet來替換 GUI、添加了PowerShell調試支持、添加了對Nano Server中安全日誌記錄和腳本以及JEA的支持等功能。 

PackageManagement

Windows Server 2016引入了一種新的PackageManagement功能（以前稱為 OneGet），該功能可以允許IT專業人員或開發人員使軟體發現、安裝、清單（SDII）在本地或遠程自動進行，無論安裝程序技術為何，也不管軟體位於何處。 

PowerShell 增強

Windows Server 2016添加了其它PowerShell日誌記錄和其他數字取證功能，並且已添加有助於在腳本中減少漏洞的功能，例如受限的PowerShell和安全 CodeGeneration API。 

網路

軟體定義的網路

徠Windows Server 2016可以將流量映射並傳送到新的或現有虛擬設備。與分散式防火牆和網路安全組聯合使用，可以以類似於Azure的方式動態分段和保護工作負荷。其次，可以使用System Center Virtual Machine Manager部署並管理整個軟體定義的網路 (SDN) 堆棧。最後，可以使用Docker來管理Windows Server容器網路，並將SDN策略與虛擬機和容器關聯。 

TCP 性能改進

Windows Server 2016將默認初始擁塞窗口（ICW）從4增加到10，並已實現TCP快速打開（TFO）。TFO減少了建立TCP連接所需的時間，並且增加的ICW允許在初始突發中傳輸較大的對象。此組合可以顯著減少在客戶端和雲之間傳輸Internet對象所需的時間。 

安全保障

Just Enough Administration

Windows Server 2016中的Just Enough Administration是一種安全技術，可使能由Windows PowerShell管理的任何內容均可進行委派管理。該功能包括對在網路標識下運行、通過PowerShell Direct連接、安全地複製文件到JEA終結點或從JEA終結點安全地複製文件、配置PowerShell控制台來在JEA上下文中默認啟動的支持。 

啟用Windows Defender Credential

Credential Guard

Windows Server 2016中的憑據保護功能（Credential Guard）使用基於虛擬化的安全性來隔離密鑰，以便只有特權系統軟體可以訪問它們。還包括對RDP會話的支持，以便用戶憑據能夠保留在客戶端上，且不會在伺服器端暴露。 

控制流防護

Windows Server 2016中的控制流防護（CFG）是一種平台安全功能，旨在防止或消除內存損壞漏洞。它通過對應用程序從何處執行代碼施加嚴格的限制，漏洞利用程序將難以通過緩衝區溢出等漏洞執行任意代碼。

故障轉移

Windows Server 2016中含有使用故障轉移群集功能組合到單個容錯群集中等多個新功能和增強功能，包括了群集操作系統滾動升級、存儲副本、雲見證、虛擬機復原、故障轉移群集中的診斷改進、站點感知故障轉移群集、工作組和多域群集、虛擬機負載平衡與啟動順序以及簡化的SMB多通道和多NIC群集網路等。

版本介紹

Windows Server 2016可以提供高經濟效益與高度虛擬化的環境，包括3個主要版本：

● Datacenter Edition（數據中心版）：適用於高度虛擬化和軟體定義數據中心環境。

● Standard Edition（標準版）：適用於低密度或非虛擬化的環境。

● Essentials Edition（基本版）：適用於最多25個用戶，最多50台設備的小型企業。 

版本區別

安裝選項

對於Standard和Datacenter版本，有三個安裝選項：

● ● 具有桌面體驗的伺服器（Server with Desktop Experience）：該安裝選項為那些需要運行需要本地UI的應用程序或遠程桌面服務主機的用戶提供了理想的用戶體驗。此選項具有完整的Windows客戶端外殼和體驗，與Windows 10周年版長期服務分支（LTSB）一致，並且伺服器本地提供了伺服器Microsoft管理控制台和伺服器管理器工具。

● ● 伺服器核心（Server Core）：該安裝選項從伺服器上刪除了客戶端UI，從而提供了在輕型安裝中運行大多數角色和功能的安裝。Server Core不包括可遠程使用的MMC或Server Manager，但包括有限的本地圖形工具，例如Task Manager以及用於本地或遠程管理的PowerShell。

● ● Nano Server：該安裝選項提供了理想的輕量級操作系統，以基於容器和微服務運行“雲原生”應用程序。它也可以用於運行敏捷且具有成本效益的數據中心，而其OS佔用空間卻大大減小。由於它是伺服器操作系統的輕鬆安裝，因此可以通過Core PowerShell，基於Web的伺服器管理工具或現有的遠程管理工具遠程完成管理。 

版本更新

Windows Server 2016容器應用開發創建了高度靈活的Windows Server環境，幫助用戶加速開發及運營流程，實現現代化應用的高效開發和部署。數百萬Windows開發者將體驗到容器技術帶來的優勢，而這一切都建立在開發者可以自行選擇開發語言的基礎之上——不論是.NET、ASP.NET、PowerShell、Python、Ruby on Rails、Java或是其他。（IT之家評）