windowsserver2022

这篇文将介绍WindowsServer中的一些新增功能。WindowsServer建立在WindowsServer的强大基础之上，在三个关键主题上引入了许多创新：安全性、Azure混合集成和管理以及应用程序平台。

可借助WindowsServerDatacenter:AzureEdition，利用云的优势使VM保持最新状态，同时最大限度地减少停机时间。本部分介绍WindowsServerDatacenter:AzureEdition中的一些新功能。阅读适用于WindowsServer服务的AzureAutomanage一文，详细了解适用于WindowsServer的AzureAutomanage如何将这些新功能引入WindowsServerAzureEdition。

WindowsServerDatacenter:AzureEdition建立在DatacenterEdition的基础上，可提供仅限VM的操作系统，有助于通过基于QUIC的SMB、热补丁和Azure扩展网络等高级功能帮助利用云的优势。本部分介绍其中一些新功能。

比较WindowsServer中各版本的差异。还可阅读适用于WindowsServer服务的AzureAutomanage一文，详细了解适用于WindowsServer的AzureAutomanage如何将这些新功能引入WindowsServerAzureEdition。

WindowsServerDatacenter：AzureEditionHotpatching现在已推出Azure中适用于桌面体验的公共预览版，也是AzureStackHCI版本22H2上支持的来宾VM。

本部分列出了WindowsServerDatacenter:AzureEdition中现已提供的功能和改进，从-09基于x64的系统的Microsoft服务器操作系统版本21H2的累积更新(KB)开始。安装累积更新后，OS内部版本号将为.或更高。

此更新包括对源服务器和目标服务器之间传输的数据的存储副本压缩。此新功能压缩源系统中的复制数据，通过网络发送，然后解压缩并保存在目标系统中。在传输相同数据量的情况下，压缩需要更少的网络数据包，从而实现更高的吞吐量和更低的网络利用率。更高的数据吞吐量还可缩短同步时间，这在灾难恢复等场景中十分需要。

新的存储副本PowerShell参数可用于现有命令，请查看WindowsPowerShellStorageReplica参考以了解详细信息。有关存储副本的详细信息，请参阅存储副本概述。

使用此版本，可在AzureStackHCI版本22H2上运行WindowsServerDatacenter:AzureEdition作为受支持的来宾VM。如果AzureEdition在AzureStackHCI上运行，你将能够在数据中心和边缘位置使用所有现有功能，包括适用于服务器核心的热补丁和基于QUIC的SMB。

开始使用已启用Arc的AzureStackHCI上的Azure市场或通过ISO部署WindowsServerDatacenter:AzureEdition。可从此处下载ISO：

Azure订阅支持在AzureStackHCI上运行的任何虚拟机实例上使用WindowsServerDatacenter:AzureEdition。有关详细信息，请参阅产品条款产品条款。

要详细了解最新的AzureStackHCI功能，请参阅AzureStackHCI版本22H2中的新增功能一文。

WindowsServerDatacenter:AzureEdition映像将在已启用Arc的AzureStackHCI的Azure市场中提供，用户可通过Azure认证映像轻松试用、购买和部署。

要详细了解已启用AzureArc的AzureStackHCI功能的Azure市场集成，请参阅AzureStackHCI版本22H2中的新增功能一文。

本部分列出了年9月发布的WindowsServerDatacenter:AzureEdition中提供的功能和改进。

热修补是AzureAutomanage的一部分，是在新的WindowsServerAzureEdition虚拟机(VM)上安装更新的一种新方式，安装后无需重启。有关详细信息，请参阅AzureAutomanage文档。

基于QUIC的SMB更新了SMB3.1.1协议，以在WindowsServerDatacenter:AzureEdition、Windows11及更高版本以及支持QUIC协议的第三方客户端中使用QUIC协议而不是TCP协议。通过结合使用基于QUIC的SMB和TLS1.3，用户和应用程序可以安全可靠地通过Azure中运行的边缘文件服务器访问数据。在Windows上，移动设备用户和远程办公用户不再需要使用VPN通过SMB来访问其文件服务器。有关详细信息，请参阅基于QUIC的SMB文档以及使用Automanage计算机最佳做法管理基于QUIC的SMB。

使用Azure扩展网络，可将本地子网扩展到Azure，使本地虚拟机在迁移到Azure时保留其原始的本地专用IP地址。要了解详细信息，请参阅Azure扩展网络。

本部分介绍所有版本的WindowsServer中的一些新功能。要详细了解不同版本，请查看比较WindowsServer的Standard、Datacenter和Datacenter:AzureEdition版本一文。

WindowsServer中的新增安全功能结合了WindowsServer中跨多个领域的其他安全功能，以提供针对高级威胁的深度防御和保护。WindowsServer中的高级多层安全性提供了服务器目前所需的全面保护。

OEM合作伙伴提供的经过认证的安全核心服务器硬件提供更多的安全保护措施，可有效防范复杂攻击。在处理一些最具数据敏感性的行业的任务关键型数据时，使用经过认证的安全核心服务器硬件可以更加安心。安全核心服务器使用硬件、固件和驱动程序功能来实现高级WindowsServer安全功能。其中许多功能可通过Windows安全核心电脑获取，现在还可通过安全核心服务器硬件和WindowsServer获取。有关安全核心服务器的详细信息，请参阅安全核心服务器。

通过使用BitLocker驱动器加密这样的功能，受信任的平台模块2.0(TPM2.0)安全加密处理器芯片为敏感加密密钥和数据提供安全的基于硬件的存储（包括系统完整性度量）。TPM2.0可以验证服务器是否已使用合法代码启动，以及后续代码执行是否可信任该服务器（也就是“硬件根信任”）。

固件以高特权执行，通常对传统的防病毒解决方案不可见，这导致基于固件的攻击数量增加。安全核心服务器使用动态信任根衡量(DRTM)技术来衡量和验证启动过程。安全核心服务器还可以使用直接内存访问(DMA)保护来隔离驱动程序对内存的访问。

UEFI安全启动是一种安全标准，可保护服务器免受恶意rootkit攻击。安全启动可确保服务器仅启动硬件制造商信任的固件和软件。服务器启动时，固件会检查每个启动组件的签名，包括固件驱动程序和OS。如果签名有效，则服务器将会启动，而固件会将控制权转递给OS。

安全核心服务器支持基于虚拟化的安全性(VBS)和基于虚拟机监控程序的代码完整性(HVCI)。VBS使用硬件虚拟化功能创建安全内存区域并将其与正常操作系统隔离，防范加密货币挖矿攻击中使用的一系列漏洞。VBS还支持使用CredentialGuard，其中用户凭据和机密存储在操作系统无法直接访问的虚拟容器中。

HVCI使用VBS大大增强了代码完整性策略的实施。内核模式完整性会防止未签名的内核模式驱动程序或系统文件加载到系统内存中。

内核数据保护(KDP)为包含不可执行数据的内核内存提供只读内存保护，其中内存页受虚拟机监控程序保护。KDP可保护WindowsDefenderSystemGuard运行时中的关键结构不被篡改。

安全连接是当今互连系统的核心。传输层安全性(TLS)1.3是部署最广泛的安全协议的最新版本，它对数据进行加密，以在两个终结点之间提供安全的信道。WindowsServer上现在默认启用HTTPS和TLS1.3，旨在保护连接到服务器的客户端的数据。它不再使用过时的加密算法，提供比旧版本更高的安全性，旨在实现尽可能多的握手加密。详细了解受支持的TLS版本和受支持的密码套件。

尽管协议层中的TLS1.3现已默认启用，但应用程序和服务也需要主动支持它。Microsoft安全博客在通过TLS1.3将传输层安全性提升到新水平一文中进行了更详细的介绍。

现在，WindowsServer中的DNS客户端支持基于HTTPS的DNS(DoH)，后者使用HTTPS协议加密DNS查询。DoH有助于防止窃听和篡改你的DNS数据，尽可能保护流量的私密性。详细了解如何配置DNS客户端以使用DoH。

WindowsServer现在支持将AES-256-GCM和AES-256-CCM加密套件用于SMB加密。Windows连接到也支持这种方法的另一台计算机时，将自动协商更高级的密码方法，也可通过组策略强制执行该方法。WindowsServer仍支持AES-128来实现下层兼容性。AES-128-GMAC签名现在还可以加快签名速度。

WindowsServer故障转移群集现支持对加密和签名群集共享卷(CSV)及存储总线层(SBL)的节点内存储通信进行精细控制。若在使用存储空间直通，现在可决定在群集本身内加密或签名东-西通信，以获得更高的安全性。

SMB直通和RDMA为存储空间直通、存储副本、Hyper-
V、横向扩展文件服务器和SQLServer等工作负载提供高带宽、低延迟网络结构。WindowsServer中的SMB直通现在支持加密。以前，启用SMB加密会禁用直接数据放置；这是有意为之的，但严重影响了性能。现在，数据在放置之前进行加密，使性能下降相对较小，同时通过AES-128和AES-256保护提高了数据包保密性。

可以通过WindowsServer中的内置混合功能来提高效率和灵活性，从而可以比以往更轻松地将数据中心扩展到Azure。

已启用AzureArc的WindowsServer服务器通过使用AzureArc将本地和多云WindowsServer引入Azure。这种管理体验旨在使你能够采用与本地Azure虚拟机一致的管理方式。当混合计算机连接到Azure时，它将成为一台联网计算机，被视为Azure中的资源。有关详细信息，请参阅通过AzureArc支持服务器文档。

若要添加新的WindowsServer，请转到任务栏右下角的AzureArc图标，并启动AzureArc安装程序来安装和配置Azure连接计算机代理。安装后，可使用Azure连接计算机代理，而你的Azure帐户没有额外费用。在服务器上启用AzureArc后，可以在任务栏图标中看到状态信息。

若要了解详细信息，请参阅通过AzureArc安装程序将WindowsServer计算机连接到Azure。

用于管理WindowsServer的WindowsAdminCenter的改进包括：报告上述安全核心功能的当前状态，在适用情况下允许客户启用这些功能。有关这些改进以及WindowsAdminCenter更多改进的详细信息，请参阅WindowsAdminCenter文档。

有多项针对Windows容器的平台改进，包括应用程序兼容性和es的Windows容器体验。

应用程序现在可以将AzureActiveDirectory与组托管服务帐户(gMSA)配合使用，且无需通过域加入的方式加入容器主机。Windows容器现在还支持Microsoft分布式事务控制(MSDTC)和Microsoft消息队列(MSMQ)。

现可为进程隔离的WindowsServer容器分配简单总线。在需要通过SPI、I2C、GPIO和UART/COM进行通信的容器中运行的应用程序现在可执行此操作。

我们已在Windows容器中实现DirectXAPI硬件加速支持，以支持使用本地图形处理单元(GPU)硬件进行机器学习(ML)推理等方案。有关详细信息，请参阅博客文章在Windows容器中引入GPU加速。

还有其他几项增强功能，可简化es的Windows容器体验。这些增强功能包括支持将主机进程容器用于节点配置、IPv6支持以及使用Calico实现一致的网络策略。

我们更新了WindowsAdminCenter，使用户能轻松容器化.NET应用程序。应用程序位于容器中后，可以将其托管在Azure容器注册表上，然后将其部署到其他Azure服务，包括es服务。

由于支持IntelIceLake处理器，WindowsServer可支持业务关键型和大型应用程序，这些应用程序需要高达48TB的内存和在64个物理插槽上运行的个逻辑内核。使用IntelIceLake上的IntelSecuredGuardExtension(SGX)进行机密计算，可以通过使用受保护的内存将应用程序彼此隔离，从而提高应用程序安全性。

若要了解有关新功能的详细信息，请参阅WindowsServer中Windows容器的新增功能。

远程桌面IP虚拟化通过支持Winsock应用程序的按会话和每程序远程桌面IP虚拟化来模拟单用户桌面。若要了解详细信息，请参阅WindowsServer中的远程桌面IP虚拟化。

我们在此版本的“应用兼容性按需功能”功能包中添加了两个管理工具：任务计划程序(taskschd.msc)，以及Hyper-V管理器(virtmgmt.msc)。有关详细信息，请参阅ServerCore应用兼容性按需功能(FOD)。

嵌套虚拟化是一项功能，使你可以在Hyper-V虚拟机(VM)内运行Hyper-
V。WindowsServer通过使用AMD处理器引入对嵌套虚拟化的支持，为环境提供更多的硬件选择。有关详细信息，请参阅嵌套虚拟化文档。

WindowsServer中随附了MicrosoftEdge，替代了Explorer。它建立在Chromium开源基础上，并以Microsoft的安全性和创新为后盾。可以通过桌面体验安装选项将其用于Server。有关详细信息，请参阅MicrosoftEdgeEnterprise文档。与WindowsServer其余部分不同，MicrosoftEdge的支持生命周期遵循新式生命周期。有关详细信息，请参阅MicrosoftEdge生命周期文档。

由于RTP和自定义(UDP)流式传输和游戏协议越来越受欢迎，UDP正成为一种热门的协议，具有越来越多的网络流量。在UDP基础上构建的QUIC协议使UDP的性能达到与TCP一样的水平。值得注意的是，WindowsServer包括UDP分段卸载(USO)。USO将发送UDP数据包所需的大部分工作从CPU转移到网络适配器的专用硬件。UDP接收端合并(UDPRSC)使客户对USO赞誉不绝，它可合并数据包并减少进行UDP处理的CPU使用率。此外，我们还对UDP的数据传输和接收路径进行了数百项改进。WindowsServer和Windows11都具有此项新功能。

WindowsServer使用TCPHyStart 来减少连接启动期间的数据包丢失（尤其是在高速网络中），并使用RACK来减少重发超时(RTO)。这些功能在传输堆栈中默认启用，并提供更流畅的网络数据流和更好的高速性能。WindowsServer和Windows11都具有此项新功能。

Hyper-V中的虚拟交换机已通过更新的接收段合并(RSC)进行了增强。RSC让虚拟机监控程序网络能够合并数据包并作为一个更大的段进行处理。CPU周期减少，段将在整个数据路径中保持合并，直到被目标应用程序处理。RSC让虚拟NIC从外部主机接收的网络流量，以及虚拟NIC发送到同一主机上另一个虚拟NIC的网络流量的性能都得到了提高。

磁盘异常情况检测新功能可以突出显示磁盘的行为何时与往常不同。尽管不同的情况并不一定是坏事，但在排查系统上的问题时，查看这些异常瞬间可能会有所帮助。此功能也适用于运行WindowsServer的服务器。

如果在安装最新驱动程序或质量Windows更新后出现启动失败，服务器现在可以通过删除更新立即自动恢复。如果在最近安装驱动程序质量更新后设备无法正常启动，Windows现在会自动卸载更新，使设备能够恢复正常运行。

使用WindowsServer中存储迁移服务的增强功能，可以更轻松地将更多源位置的存储迁移到WindowsServer或迁移到Azure。下面是在WindowsServer上运行存储迁移服务器业务流程协调程序时可用的功能：

“用户可调整的存储修复速度”是存储空间直通的一项新功能，此功能可对数据重新同步过程进行更强的控制。使用“可调整的存储修复速度”功能，可将资源分配给“修复数据副本”（复原）或“运行活动工作负载”（性能）。控制修复速度，有助于提高可用性，并可让你更灵活、更有效地为群集提供服务。

在节点重启和磁盘故障等事件之后进行的存储修复和重新同步现在速度快两倍。修复时间差异变小，因此，你可以更好地确定修复所需的时间，这已通过向数据跟踪添加更多粒度来实现。目前修复只会移动需要移动的数据，从而减少所使用的系统资源和耗费的时间。

存储总线缓存现在可用于独立服务器。它可以显著提高读取和写入性能，同时保持存储效率和较低的操作成本。与存储空间直通的实现类似，此功能将速度较快的介质（例如NVMe或SSD）与速度较慢的介质（例如HDD）绑定在一起来创建层。为缓存保留了部分更快的介质层。若要了解详细信息，请参阅在独立服务器上使用存储空间启用存储总线缓存。

Microsoft的复原文件系统(ReFS)现在包括使用快速元数据操作来拍摄文件快照的功能。快照与ReFS块克隆的不同之处在于，克隆是可写的，而快照是只读的。此功能在具有VHD/VHDX文件的虚拟机备份场景中尤其有用。ReFS快照的独特之处在于，它们使用固定时间，而不考虑文件大小。对快照的支持在ReFSUtil中提供或作为API提供。

利用WindowsServer和Windows11中的SMB的增强功能，用户或应用程序可以在通过网络传输文件时对其进行压缩。用户不再需要手动压缩文件，就能在较慢或较拥塞的网络上更快地传输。有关详细信息，请参阅SMB压缩。

比较WindowsServer的Standard、Datacenter和DatacenterAzureEdition版本

比较WindowsServer的Standard、Datacenter和DatacenterAzureEdition版本。

本文介绍WindowsServer中的一些新增功能，这些功能在你使用此版本时最可能具有最大影响力。

适用于WindowsServer的AzureEdition概述，包括关键功能和后续步骤。

用于了解SQLServer新推出的主要功能（从云连接功能到核心引擎功能）的培训模块。

MicrosoftCertified:WindowsServerHybridAdministratorAssociate-Certifications

WindowsServer混合管理员负责将WindowsServer环境与Azure服务集成，以及在本地网络中管理WindowsServer。