Windows Server Insider Preview Build 20206 enthält diese Änderungen

CoreNet: Datenpfad und Transporte

• MsQuic – Eine Open-Source-Implementierung des IETF QUIC-Transportprotokolls unterstützt sowohl die HTTP/3-Webverarbeitung als auch die SMB-Dateiübertragung.

• UDP-Leistungsverbesserungen — UDP wird zu einem sehr beliebten Protokoll, das immer mehr Netzwerkverkehr transportiert. Mit dem auf UDP aufbauenden QUIC-Protokoll und der zunehmenden Popularität von RTP und benutzerdefinierten (UDP) Streaming- und Gaming-Protokollen ist es an der Zeit, die Leistung von UDP auf ein Niveau zu bringen, das mit TCP vergleichbar ist. In Server vNext integrieren wir die Spielveränderung UDP-Segmentierungs-Offload (USO). USO verlagert die meiste Arbeit, die erforderlich ist, um UDP-Pakete von der CPU an die spezialisierte Hardware der NIC zu senden. Als Ergänzung zu USO in Server vNext integrieren wir UDP Receive Side Coalescing (UDP RSC), das Pakete zusammenführt und die CPU-Auslastung für die UDP-Verarbeitung reduziert. Um diese beiden neuen Verbesserungen zu begleiten, haben wir Hunderte von Verbesserungen am UDP-Datenpfad sowohl beim Senden als auch beim Empfangen vorgenommen.

• TCP-Leistungsverbesserungen — Server vNext verwendet TCP HyStart++ um Paketverluste beim Verbindungsaufbau zu reduzieren (insbesondere in Hochgeschwindigkeitsnetzwerken) und SendTracker + GESTELL um Retransmit TimeOuts (RTO) zu reduzieren. Diese Funktionen sind standardmäßig im Transportstack aktiviert und bieten einen reibungsloseren Netzwerkdatenfluss mit besserer Leistung bei hohen Geschwindigkeiten.
• PktMon Unterstützung in TCPIP — Das komponentenübergreifende Netzwerkdiagnosetool für Windows verfügt jetzt über TCPIP-Unterstützung, die einen Einblick in den Netzwerkstapel bietet. PktMon kann für die Paketerfassung, Paketverlusterkennung, Paketfilterung und -zählung für Virtualisierungsszenarien wie Containernetzwerke und SDN verwendet werden.

(Verbesserter) RSC im vSwitch

RSC im vSwitch wurde für eine bessere Leistung verbessert. Das erstmals in Windows Server 2019 veröffentlichte Receive Segment Coalescing (RSC) im vSwitch ermöglicht die Zusammenführung und Verarbeitung von Paketen beim Eintritt in den virtuellen Switch als ein größeres Segment. Dies reduziert die verbrauchten CPU-Zyklen für die Verarbeitung jedes Bytes (Zyklen/Byte) erheblich.

In seiner ursprünglichen Form würde der Verkehr jedoch, sobald er den virtuellen Switch verlassen hat, für die Reise über den VMBus neu segmentiert. In Windows Server vNext bleiben Segmente über den gesamten Datenpfad hinweg zusammengeführt, bis sie von der vorgesehenen Anwendung verarbeitet werden. Dies verbessert zwei Szenarien:

– Datenverkehr von einem externen Host, der von einer virtuellen Netzwerkkarte empfangen wird

– Datenverkehr von einer virtuellen NIC zu einer anderen virtuellen NIC auf demselben Host

Diese Verbesserungen an RSC im vSwitch werden standardmäßig aktiviert; es sind keine Maßnahmen Ihrerseits erforderlich.

Direct Server Return (DSR)-Load-Balancing-Unterstützung für Container und Kubernetes

DSR ist eine Implementierung einer asymmetrischen Netzwerklastverteilung in Systemen mit Lastausgleich, was bedeutet, dass der Anfrage- und Antwortverkehr einen anderen Netzwerkpfad verwenden. Die Verwendung unterschiedlicher Netzwerkpfade hilft, zusätzliche Hops zu vermeiden und reduziert die Latenz, durch die nicht nur Geschwindigkeiten die Reaktionszeit zwischen dem Client und dem Dienst zu erhöhen, aber auch eine zusätzliche Last von der Last zu entfernen Ausgleicher.

Die Verwendung von DSR ist ein transparenter Weg, um eine höhere Netzwerkleistung für Ihre Anwendungen mit geringen bis gar keinen Änderungen an der Infrastruktur zu erzielen. Mehr Informationen

Einführung von Affinitäts-/AntiAffinitätsregeln für virtuelle Maschinen (Rollen) mit Failover-Clustering

In der Vergangenheit haben wir uns auf die Gruppeneigenschaft AntiAffinityClassNames verlassen, um die Rollen auseinander zu halten, aber es gab kein standortspezifisches Bewusstsein. Wenn ein DC an einem Standort und ein DC an einem anderen Standort vorhanden sein musste, war dies nicht garantiert. Es war auch wichtig, daran zu denken, die richtige AntiAffinityClassNames-Zeichenfolge für jede Rolle einzugeben.

Es gibt diese PowerShell-Cmdlets:

• New-ClusterAffinityRule = Damit können Sie eine neue Affinity- oder AntiAffinity-Regel erstellen. Es gibt vier verschiedene Regeltypen (-RuleType)

• DifferentFaultDomain = behalte die Gruppen auf verschiedenen Fehlerdomänen
• DifferentNode = Behalten Sie die Gruppen auf verschiedenen Knoten (Hinweis könnte auf einer anderen oder derselben Fehlerdomäne liegen)
• SameFaultDomain = Behalten Sie die Gruppen in derselben Fehlerdomäne bei
• SameNode = behalte die Gruppen auf demselben Knoten

• Set-ClusterAffinityRule = Damit können Sie eine Regel aktivieren (Standard) oder deaktivieren

• Add-ClusterGroupToAffinityRule = Eine Gruppe zu einer bestehenden Regel hinzufügen

• Get-ClusterAffinityRule = Alle oder bestimmte Regeln anzeigen

• Add-ClusterSharedVolumeToAffinityRule = Dies ist für Speicheraffinität/AntiAffinity, wo Cluster Shared Volumes zu aktuellen Regeln hinzugefügt werden können

• Remove-ClusterAffinityRule = Entfernt eine bestimmte Regel

• Remove-ClusterGroupFromAffinityRule = Entfernt eine Gruppe aus einer bestimmten Regel

• Remove-ClusterSharedVolumeFromAffinityRule = Entfernt ein bestimmtes freigegebenes Cluster-Volume aus einer bestimmten Regel

• Move-ClusterGroup -IgnoreAffinityRule = Dies ist kein neues Cmdlet, ermöglicht Ihnen jedoch das zwangsweise Verschieben einer Gruppe in einen Knoten oder eine Fehlerdomäne, die andernfalls verhindert würde. In PowerShell, Cluster Manager und Windows Admin Center wird als Erinnerung angezeigt, dass die Gruppe verletzt wird.

Jetzt können Sie die Dinge zusammen oder getrennt halten. Beim Verschieben einer Rolle stellt das Affinitätsobjekt sicher, dass es verschoben werden kann. Das Objekt sucht auch nach anderen Objekten und überprüft auch diese, einschließlich Festplatten, sodass Sie Speicheraffinität mit virtuellen Maschinen (oder Rollen) und Cluster Shared Volumes (Speicheraffinität), wenn gewünscht. Sie können mehreren Rollen, wie beispielsweise Domänencontrollern, Rollen hinzufügen. Sie können eine AntiAffinity-Regel festlegen, damit die DCs in einer anderen Fehlerdomäne verbleiben. Sie können dann für jeden der DCs eine Affinitätsregel für sein spezifisches CSV-Laufwerk festlegen, damit sie zusammenbleiben können. Wenn Sie über SQL Server-VMs verfügen, die sich an jedem Standort mit einem bestimmten DC befinden müssen, können Sie eine Affinitätsregel derselben Fehlerdomäne zwischen jedem SQL und dem jeweiligen DC festlegen. Da es sich jetzt um ein Clusterobjekt handelt, werden alle damit verbundenen Clusterobjekte überprüft, wenn Sie versuchen, eine SQL-VM von einem Standort zu einem anderen zu verschieben. Es sieht eine Kopplung mit dem DC auf derselben Site. Es sieht dann, dass der DC über eine Regel verfügt und überprüft sie. Es erkennt, dass sich der DC nicht in derselben Fehlerdomäne wie der andere DC befinden kann, sodass die Verschiebung nicht zulässig ist.

Es gibt integrierte Überschreibungen, damit Sie bei Bedarf eine Bewegung erzwingen können. Sie können Regeln bei Bedarf auch einfach deaktivieren/aktivieren, im Gegensatz zu AntiAffinityClassNames mit ClusterEnforcedAffinity, wo Sie die Eigenschaft entfernen mussten, damit sie verschoben und aufgerufen wird. Wir haben auch eine Funktion in Drain hinzugefügt, bei der wir die Regel umgehen, wenn sie in eine andere Domäne verschoben werden muss und eine AntiAffinity-Regel dies verhindert. Alle Regelverstöße werden sowohl in der Clusterverwaltung als auch im Windows Admin Center zu Ihrer Überprüfung angezeigt.

Flexibler BitLocker Protector für Failovercluster

BitLocker ist seit geraumer Zeit für Failover-Clustering verfügbar. Die Anforderung war, dass sich die Clusterknoten alle in derselben Domäne befinden müssen, da der BitLocker-Schlüssel an das Cluster Name Object (CNO) gebunden ist. Für diese Cluster am Edge, Arbeitsgruppen-Cluster und Multidomänen-Cluster ist Active Directory jedoch möglicherweise nicht vorhanden. Ohne Active Directory gibt es kein CNO. Diese Cluster-Szenarien hatten keine Data-at-Rest-Sicherheit. Beginnend mit diesem Windows Server Insider haben wir unseren eigenen BitLocker-Schlüssel eingeführt, der lokal (verschlüsselt) für die Verwendung durch den Cluster gespeichert ist. Dieser zusätzliche Schlüssel wird nur erstellt, wenn die Clusterlaufwerke nach der Clustererstellung durch BitLocker geschützt sind.

Neue Netzwerktests zur Clustervalidierung

Netzwerkkonfigurationen werden immer komplexer. Ein neuer Satz von Clustervalidierungstests wurde hinzugefügt, um zu überprüfen, ob die Konfigurationen richtig eingestellt sind. Diese Tests umfassen:

• Reihenfolge der Netzwerkmetriken auflisten (Treiberversionsverwaltung)
• Cluster-Netzwerkkonfiguration validieren (virtuelle Switch-Konfiguration)
• Warnung zur Überprüfung der IP-Konfiguration
• Erfolgreiche Netzwerkkommunikation
• Switch-Embedded-Teaming-Konfigurationen (Symmetrie, vNIC, pNIC)
• Überprüfen Sie die erfolgreiche Konfiguration der Windows-Firewall
• QOS (PFC und ETS) wurden konfiguriert

(Hinweis zu den obigen QOS-Einstellungen: Dies bedeutet nicht, dass diese Einstellungen gültig sind, sondern lediglich, dass die Einstellungen implementiert wurden. Diese Einstellungen müssen mit Ihrer physischen Netzwerkkonfiguration übereinstimmen. Daher können wir nicht überprüfen, ob diese auf die entsprechenden Werte eingestellt sind.)

Server Core Container-Images sind 20 Prozent kleiner

Was für jeden Workflow, der Windows-Container-Images abruft, ein bedeutender Gewinn sein sollte, wurde die Downloadgröße des Windows Server Core-Container-Insider-Images um 20 % reduziert. Dies wurde durch die Optimierung des Satzes von vorkompilierten nativen .NET-Images erreicht, die im Server Core-Container-Image enthalten sind. Wenn Sie .NET Framework mit Windows-Containern, einschließlich Windows PowerShell, verwenden, verwenden Sie a .NET Framework-Image, das zusätzliche vorkompilierte native .NET-Images enthält, um die Leistung für diese Szenarien aufrechtzuerhalten und gleichzeitig von einer reduzierten Größe zu profitieren.

Was ist neu beim SMB-Protokoll

SMB hebt die Sicherheitslatte noch weiter an und unterstützt jetzt die AES-256-Verschlüsselung. Die Leistung wird auch erhöht, wenn die SMB-Verschlüsselung verwendet oder mit SMB Direct mit RDMA-fähigen Netzwerkkarten signiert wird. SMB kann jetzt auch eine Komprimierung durchführen, um die Netzwerkleistung zu verbessern.

Datenschutzübersicht