Shielded VMs verhindern den unbefugten Zugriff auf enthaltene Anwendungen und Daten. Ein Hyper-V-Host muss erst als vertrauenswürdig eingestuft werden, damit er solche VMs überhaupt booten kann. Die Verschlüsselung der VHDs schützt zusätzlich vor neugierigen Blicken. Für dieses Feature benötigt man jedoch eine Guarded Fabric als Infrastruktur.
Storage Spaces Direct (S2D) in Windows Server 2016 DC unterstützen auch hyperkonvergente 2-Node-Cluster. Um das Feature ohne physische Hardware zu testen, lässt sich S2D auch in einem virtuellen Lab aufsetzen. Die Anleitung zeigt, wie Sie dabei vorgehen.
Neben dem herkömmlichen NIC-Teaming ist es mit Server 2016 möglich, NICs direkt am virtuellen Hyper-V Layer-2 Switch zu bündeln. Switch-Embedded Teaming (SET) ist auf Hyper-V-Hosts nun die bevorzugte Alternative, wenn man R-NICs für Storage Spaces Direct einsetzt.
Storage Spaces Direct (S2D) verbinden zertifizierte Standard-Hardware samt lokalen Laufwerken zu einem Cluster und stellen so hochverfügbaren Speicher für Hyper-V bereit. Die kleinste Konfiguration für eine Hyper-converged Infrastructure erfordert nur zwei Knoten.
Die meisten Cloud-Dienste von Microsoft benötigen Azure Storage. Der Speicher kann sowohl für Dateien und Backups verwendet werden, als auch für virtuelle Maschinen und deren Laufwerke. Diese werden in hochverfügbaren BLOBs abgelegt, wahlweise redundant in einem Datacenter, einer Region oder geografisch verteilt.
Ein wichtiges neues Feature von Hyper-V 2016 sind Shielded VMs, welche den unbefugten Zugriff auf die darin enthaltenen Daten und Anwendungen verhindern. Dafür werden diese unter anderem durch BitLocker verschlüsselt. Das geht auch ohne Guarded Fabric, vorausgesetzt ein virtuelles Trusted Platform Module (vTPM) wurde in der VM aktiviert.
Zu den signifikanten Neuerungen in Server 2016 zählen Container. Sie erlauben im Vergleich zu VMs eine leichtgewichtige Virtualisierung von Hardware und Applikationen. Windows Server Container bauen dabei auf die Docker-Technologie. Deshalb lassen sie sich mit den bekannten Docker-Kommandos einrichten und verwalten.
Die Multi-Faktor-Authentifizierung (MFA) gilt als zusätzliche Barriere gegen eine unbefugte Anmeldung mit Username und Passwort. Im Azure AD-Mandanten kann der Administrator dieses Feature pro User aktivieren. Die Microsoft Authenticator-App dient dann als Software-Token.
Bei Azure AD lassen sich die Domänendienste zuschalten, um Protokolle wie Kerberos oder auch Gruppenrichtlinien zu nutzen. Die Azure Active Directory Domain Services (AAD DS) erlauben dann wie das On-Premises-Pendant den Beitritt zu Domänen. Die Verwaltung von OUs und GPOs ist bis dato eingeschränkt möglich.
Azure Active Directory lässt sich über das Web-Portal oder mit PowerShell administrieren. Letztere setzt jedoch die Integration des Azure AD-Moduls für PowerShell voraus. Damit lassen sich unter anderem Benutzer und Gruppen in Scripts oder auf der Kommandozeile verwalten.