O que poderemos encontrar de novidades no Windows Servidor 2022?
Introdução aos Servidores Windows
O Servidor Windows é uma plataforma para compilar uma infraestrutura de aplicativos, redes e serviços Web conectados, do grupo de trabalho ao data center.
O Servidor Windows 2022 foi construído sobre a base sólida do Servidor Windows 2019 trazendo muitas inovações como:
- segurança,
- integração e gerenciamento híbridos do Azure e plataforma de aplicativos.
Segurança
Os novos recursos de segurança do Servidor Windows 2022 combinam outros recursos de segurança do Windows Server em várias áreas para fornecer proteção profunda contra ameaças avançadas. A segurança multicamada avançada no Servidor Windows 2022 fornece a proteção abrangente que os servidores precisam hoje.
Servidor de núcleo seguro
O hardware de servidor de núcleo seguro certificado por um parceiro OEM fornece proteções de segurança adicionais que são úteis contra ciberataques sofisticados.
Isso pode fornecer maior segurança ao lidar com dados de missão crítica em alguns dos setores mais sensíveis a dados.
Um servidor Secured-core usa recursos de hardware, firmware e driver para habilitar recursos avançados de segurança do Servidor Windows.
Muitos desses recursos estão disponíveis em PCs com núcleo seguro do Windows (TPM) e agora também estão disponíveis com hardware de servidor com núcleo seguro no Servidor Windows 2022.
Raiz de confiança de hardware
Os chips processadores de criptografia seguro como o Trusted Platform Module 2.0 (TPM 2.0) que ficou famoso com o Windows 11, fornecem um armazenamento seguro baseado em hardware para chaves e dados criptográficos confidenciais, incluindo medições de integridade de sistemas.
O TPM 2.0 pode verificar se o servidor foi iniciado com código legítimo e se pode ser confiável pela execução de código subsequente. Isso é conhecido como raiz de confiança de hardware e é usado por recursos como criptografia de unidade BitLocker presente há muito tempo em PCs Windows.
Ajude o blog com um PIX de R$2,00 ou R$5,00 para contato@gestortecnico.net
Proteção de firmware
O firmware é executado com altos privilégios e geralmente é invisível para as soluções antivírus tradicionais, o que levou a um aumento no número de ciberataques baseados em firmware.
Os processadores de servidor de núcleo seguro suportam medição e verificação de processos de inicialização com a tecnologia Dynamic Root of Trust for Measurement (DRTM) e isolamento de acesso de driver à memória com proteção Direct Memory Access (DMA) presentes no Windows 11.
Inicialização segura UEFI
A inicialização segura UEFI é um padrão de segurança que protege seus servidores contra rootkits maliciosos.
A inicialização segura garante que o servidor inicialize apenas firmware e software confiáveis pelo fabricante do hardware.
Quando o servidor é iniciado, o firmware verifica a assinatura de cada componente de inicialização, incluindo drivers de firmware e sistema operacional. Se as assinaturas forem válidas, o servidor inicializa e o firmware dá o controle ao SO assim como acontece no Windows 11.
Segurança baseada em virtualização (VBS)
Servidores de núcleo seguro suportam segurança baseada em virtualização (VBS) e integridade de código baseada em hipervisor (HVCI).
O VBS usa recursos de virtualização de hardware para criar e isolar uma região segura de memória do sistema operacional normal, protegendo contra uma classe inteira de vulnerabilidades usadas em ataques de mineração de criptomoedas.
O VBS também permite o uso do Credential Guard, onde as credenciais e os segredos do usuário são armazenados em um contêiner virtual que o sistema operacional não pode acessar diretamente.
A HVCI usa VBS para fortalecer significativamente a aplicação da política de integridade de código, incluindo a integridade do modo kernel que verifica todos os drivers e binários do modo kernel em um ambiente virtualizado antes de serem iniciados, evitando que drivers não assinados ou arquivos do sistema sejam carregados na memória do sistema.
O Kernel Data Protection (KDP) fornece proteção de memória somente leitura da memória do kernel contendo dados não executáveis onde as páginas de memória são protegidas pelo Hypervisor. O KDP protege as principais estruturas no tempo de execução do Windows Defender System Guard (agora presente em servidores windows) contra adulterações.
Conectividade segura
O Transporte HTTPS e TLS 1.3 agora são habilitados por padrão no Servidor Windows 2022.
As conexões seguras estão no centro dos sistemas interconectados de hoje. O Transport Layer Security (TLS) 1.3 é a versão mais recente do protocolo de segurança mais implantado da Internet, que criptografa dados para fornecer um canal de comunicação seguro entre dois terminais.
HTTPS e TLS 1.3 agora estão habilitados por padrão no Servidor Windows 2022, protegendo os dados dos clientes que se conectam ao servidor.
Ele elimina algoritmos criptográficos obsoletos, aumenta a segurança em relação às versões mais antigas e visa criptografar o máximo possível do handshake.
Embora o TLS 1.3 na camada de protocolo agora esteja habilitado por padrão, os aplicativos e serviços também precisam suportá-lo ativamente.
DNS seguro - solicitações de resolução de nomes DNS criptografados com DNS sobre HTTPS
O Cliente DNS no Servidor Windows 2022 agora oferece suporte a DNS sobre HTTPS (DoH), que criptografa consultas DNS usando o protocolo HTTPS.
Isso ajuda a manter seu tráfego o mais privado possível, evitando a espionagem e a manipulação de seus dados DNS.
Server Message Block (SMB): Criptografia SMB AES-256 para maior segurança
O Windows Server agora oferece suporte a conjuntos criptográficos AES-256-GCM e AES-256-CCM para criptografia SMB.
O Windows negociará automaticamente esse método de codificação mais avançado ao se conectar a outro computador que também ofereça suporte a SMB, também pode ser obrigatório por meio da Diretiva de Grupo.
O Windows Server ainda oferece suporte ao AES-128 para compatibilidade de nível inferior. A assinatura AES-128-GMAC agora também acelera o desempenho da assinatura.
Lembrando que seus dispositivos também devem suportar Criptografia SMB AES-256 para maior segurança.
SMB: controles de criptografia East-West SMB para comunicações de cluster interno
Os clusters de failover do Windows Server agora oferecem suporte ao controle granular de criptografia e assinatura de comunicações de armazenamento intra-nó para Volumes Compartilhados de Cluster (CSV) e a camada de barramento de armazenamento (SBL).
Isso significa que, ao usar Espaços de Armazenamento Diretos, você pode decidir criptografar ou assinar comunicações leste-oeste dentro do próprio cluster para maior segurança.
Criptografia SMB Direct e RDMA
O SMB Direct e o RDMA fornecem malha de rede de alta largura de banda e baixa latência para cargas de trabalho como Espaços de Armazenamento Diretos, Réplica de Armazenamento, Hyper-V, Servidor de Arquivos escalável e SQL Server.
O SMB Direct no Servidor Windows 2022 agora oferece suporte à criptografia. Anteriormente, habilitar a criptografia SMB desabilitava o posicionamento direto de dados; isso foi intencional, mas afetou seriamente o desempenho.
Agora os dados são criptografados antes do posicionamento dos dados, levando a uma degradação de desempenho muito menor ao adicionar privacidade de pacotes protegidos por AES-128 e AES-256.
SMB sobre QUIC
SMB sobre QUIC atualiza o protocolo SMB 3.1.1 no Servidor Windows 2022 Datacenter: Azure Edition e clientes Windows com suporte para usar o protocolo QUIC em vez de TCP.
Ao usar SMB sobre QUIC junto com TLS 1.3, usuários e aplicativos podem acessar dados de forma segura e confiável de servidores de arquivos de borda executados no Azure.
Os usuários móveis e teletrabalhadores não precisam mais de uma VPN para acessar seus servidores de arquivos por SMB no Windows.
Um administrador de servidor de arquivos deverá habilitar SMB sobre QUIC pois ele não está ativado por padrão, então; um cliente não pode forçar um servidor de arquivos a habilitar SMB sobre QUIC automaticamente.
Lembre-se que clientes SMB do Windows ainda usam TCP como protocolo padrão e só tentarão SMB sobre QUIC se a tentativa de TCP falhar primeiro ou se exigir intencionalmente QUIC usando:
- NET USE /TRANSPORT:QUIC or
- New-SmbMapping -TransportType QUIC.
Recursos híbridos do Azure
Você pode aumentar sua eficiência e agilidade com recursos híbridos integrados no Servidor Windows 2022 que permitem estender seus data centers para o Azure com mais facilidade do que nunca.
Servidores Windows habilitados para Azure Arc
Os servidores habilitados para Azure Arc com Servidor Windows 2022 trazem Servidores Windows locais e de várias nuvens para o Azure com Azure Arc.
Ajude o blog com um PIX de R$2,00 ou R$5,00 para contato@gestortecnico.net
Essa experiência de gerenciamento foi projetada para ser consistente com a forma como você gerencia máquinas virtuais nativas do Azure.
Quando uma máquina híbrida é conectada ao Azure, ela se torna uma máquina conectada e é tratada como um recurso no Azure.
Centro de administração do Windows
As melhorias no Windows Admin Center para gerenciar o Servidor Windows 2022 incluem recursos para relatar o estado atual dos recursos de núcleo protegido mencionados acima e, quando aplicável, permitir que os clientes habilitem os recursos automaticamente.
Azure Automanage - Hotpatch
Hotpatch, parte do Azure Automanage, tem suporte no Servidor Windows 2022 Datacenter: Azure Edition.
O hotpatching é uma nova maneira de instalar atualizações em novas máquinas virtuais (VMs) do Windows Server Azure Edition que não exigem uma reinicialização após a instalação.
Plataforma de aplicativos
Existem vários aprimoramentos de plataforma para contêineres do Windows, incluindo compatibilidade de aplicativos e a experiência do contêiner do Windows com Kubernetes.
Uma grande melhoria inclui a redução do tamanho da imagem do Windows Container em até 40%, o que leva a um tempo de inicialização 30% mais rápido e melhor desempenho.
Agora você também pode executar aplicativos que dependem do Azure Active Directory com contas de serviços gerenciados de grupo (gMSA) sem o domínio ingressar no host do contêiner e os contêineres do Windows agora oferecem suporte ao Microsoft Distributed Transaction Control (MSDTC) e ao Microsoft Message Queuing (MSMQ).
Existem vários outros aprimoramentos que simplificam a experiência do Windows Container com o Kubernetes. Esses aprimoramentos incluem suporte para contêineres de processo de host para configuração de nó, IPv6 e implementação consistente de política de rede com Calico.
Além dos aprimoramentos da plataforma, o Windows Admin Center foi atualizado para facilitar a contenção de aplicativos .NET. Quando o aplicativo estiver em um contêiner, você poderá hospedá-lo no Registro de Contêiner do Azure para implantá-lo em outros serviços do Azure, incluindo o Serviço de Kubernetes do Azure.
Com suporte para processadores Intel Ice Lake, o Servidor Windows 2022 oferece suporte a aplicativos críticos para os negócios e de grande escala, como o SQL Server, que exigem até 48 TB de memória e 2.048 núcleos lógicos executados em 64 soquetes físicos.
A computação confidencial com o Intel Secured Guard Extension (SGX) no Intel Ice Lake melhora a segurança dos aplicativos isolando os aplicativos uns dos outros com memória protegida.
Outros recursos importantes
Virtualização aninhada para processadores AMD
A virtualização aninhada é um recurso que permite executar o Hyper-V dentro de uma máquina virtual (VM) Hyper-V. O Servidor Windows 2022 oferece suporte para virtualização aninhada usando processadores AMD, oferecendo mais opções de hardware para seus ambientes.
Navegador Microsoft Edge
O Microsoft Edge está incluído no Servidor Windows 2022, substituindo o Internet Explorer. Ele é construído em código aberto Chromium e apoiado pela segurança e inovação da Microsoft. Ele pode ser usado com as opções de instalação Server with Desktop Experience.
Desempenho de rede
Melhorias no desempenho do UDP
O UDP está se tornando um protocolo muito popular que transporta cada vez mais tráfego de rede devido à crescente popularidade dos protocolos de streaming e jogos RTP e personalizados (UDP).
O protocolo QUIC, construído sobre o UDP, traz o desempenho do UDP a um nível equivalente ao do TCP. Significativamente, o Servidor Windows 2022 inclui o UDP Segmentation Offload (USO).
O USO move a maior parte do trabalho necessário para enviar pacotes UDP da CPU para o hardware especializado do adaptador de rede.
Complementando o USO está o UDP Receive Side Coalescing (UDP RSC), que une pacotes e reduz o uso da CPU para processamento UDP.
Além disso, também fizemos centenas de melhorias no caminho de dados UDP, tanto para transmissão quanto para recepção - O Servidor Windows 2022 e o Windows 11 têm esse novo recurso.
Melhorias no desempenho do TCP
O Servidor Windows 2022 usa TCP HyStart++ para reduzir a perda de pacotes durante a inicialização da conexão (especialmente em redes de alta velocidade) e RACK para reduzir os tempos limite de retransmissão (RTO).
Esses recursos são habilitados na pilha de transporte por padrão e fornecem um fluxo de dados de rede mais suave com melhor desempenho em altas velocidades. O Servidor Windows 2022 e o Windows 11 têm esse novo recurso.
Melhorias no switch virtual Hyper-V
Os switches virtuais no Hyper-V foram aprimorados com o Receive Segment Coalescing (RSC) atualizado. Isso permite que a rede do hipervisor agrupe pacotes e processe como um segmento maior.
Os ciclos de CPU são reduzidos e os segmentos permanecerão unidos em todo o caminho de dados até serem processados pelo aplicativo pretendido.
Isso significa desempenho aprimorado no tráfego de rede de um host externo, recebido por um NIC virtual, bem como de um NIC virtual para outro NIC virtual no mesmo host.
Armazenar
Serviço de migração de armazenamento
Os aprimoramentos no serviço de migração de armazenamento no Servidor Windows 2022 facilitam a migração do armazenamento para o Windows Server ou para o Azure de mais locais de origem.
Aqui estão os recursos disponíveis ao executar o orquestrador do Storage Migration Server no Servidor Windows 2022:
- Migre usuários e grupos locais para o novo servidor.
- Migre o armazenamento de clusters de failover, migre para clusters de failover e migre entre servidores autônomos e clusters de failover.
- Migre o armazenamento de um servidor Linux que usa o Samba.
- Sincronize com mais facilidade os compartilhamentos migrados para o Azure usando a Sincronização de Arquivos do Azure.
- Migre para novas redes, como o Azure.
- Migre servidores NetApp CIFS de arrays NetApp FAS para servidores e clusters Windows.
Velocidade de reparo de armazenamento ajustável
A velocidade de reparo de armazenamento ajustável pelo usuário é um novo recurso no Storage Spaces Direct que oferece mais controle sobre o processo de ressincronização de dados alocando recursos para reparar cópias de dados (resiliência) ou executar cargas de trabalho ativas (desempenho).
Isso ajuda a melhorar a disponibilidade e permite que você atenda seus clusters com mais flexibilidade e eficiência.
Reparo e ressincronização mais rápidos
O reparo de armazenamento e a ressincronização após eventos como reinicializações de nós e falhas de disco agora são duas vezes mais rápidos.
Os reparos têm menos variação no tempo necessário para que você possa ter mais certeza de quanto tempo os reparos levarão, o que foi alcançado com a adição de mais granularidade ao rastreamento de dados. Isso apenas move os dados que precisam ser movidos e reduz os recursos do sistema usados e o tempo gasto.
Cache de barramento de armazenamento com Espaços de Armazenamento em servidores autônomos
O cache do barramento de armazenamento agora está disponível para servidores autônomos. Ele pode melhorar significativamente o desempenho de leitura e gravação, mantendo a eficiência do armazenamento e os custos operacionais baixos.
Semelhante à sua implementação para Espaços de Armazenamento Diretos, esse recurso une mídia mais rápida (por exemplo, NVMe ou SSD) com mídia mais lenta (por exemplo, HDD) para criar camadas.
Instantâneos em nível de arquivo do ReFS
O Resilient File System (ReFS) da Microsoft agora inclui a capacidade de criar instantâneos de arquivos usando uma operação rápida de metadados. Os instantâneos são diferentes da clonagem de bloco ReFS, pois os clones são graváveis, enquanto os instantâneos são somente leitura.
Essa funcionalidade é especialmente útil em cenários de backup de máquina virtual com arquivos VHD/VHDX. Os instantâneos do ReFS são exclusivos, pois levam um tempo constante, independentemente do tamanho do arquivo. O suporte para instantâneos está disponível no ReFSUtil ou como uma API.
Compressão SMB
O aprimoramento para SMB no Servidor Windows 2022 e no Windows 11 permite que um usuário ou aplicativo compacte arquivos à medida que são transferidos pela rede.
Os usuários não precisam mais compactar arquivos manualmente para transferir muito mais rápido em redes mais lentas ou mais congestionadas.
Conclusão:
Este texto é uma tradução de um texto oficial da Microsoft sobre o windows Servidor 2022, coloquei algumas (muitas) partes que não estava claras para mim e para clientes que tem interesse em adquirir ou migrar algum servidor. Espero que este texto ajude a quem se interessa por Servidores Windows, não é um texto com foco no usuário de Windows, e sim em Administradores e Engenheiros de Rede. Pessoalmente acho que ainda é muito cedo para migrar algum servidor 2016 ou 2019.
Ajude o blog com um PIX de R$10,00 ou R$20,00 para contato@gestortecnico.net
Grande abraço!
Nenhum comentário :
Postar um comentário
Por favor, evite palavras de baixo calão, ou qualquer tipo de ofensas. Seja construtivo ao comentar !