Windows Server vNext 已支持 ReFS Boot
Windows Server vNext 已支持 ReFS Boot
Windows Server Insider 宣布 Windows Server vNext Preview Build 29531 版本(2026年2月11日)开始支持 ReFS 启动。这意味着当我们使用 Windows Server 安装源进行全新系统安装时,可以将系统分区格式化为 ReFS!需要注意,在进行安装时 ReFS 不是默认选项,所以需要创建分区后单独将 OS 分区格式化为 ReFS。如下图所示:
完成安装后要对分区进行验证,可以进入分区属性进行查看,如下图所示。也可以使用命令行 “fsutil fsinfo volumeinfo c:”检查 File System Name 的值是否为 ReFS。
提到 ReFS 可能一些用户会感到陌生,它是由微软开发的一种现代文件系统,提升了数据保护和系统性能,特别适合那些对数据可用性、可扩展性和完整性要求高的使用场景。其主要优势表现在以下几个方面:
- 完整性流:ReFS 将校验和用于元数据和文件数据,能够可靠检测到损坏。
- 存储空间集成:当与镜像或奇偶校验空间结合使用时,ReFS 可以通过存储空间提供的备用副本自动修复检测到的损坏。修复过程将本地化到损坏区域且联机执行,不会发生卷停机时间。
- 数据恢复:如果卷损坏且损坏的数据没有备用副本存在,ReFS 将从命名空间中删除损坏的数据。ReFS 在处理大多数不可更正的损坏时可将卷保持在联机状态,只有极少数情况下,ReFS 需要将卷保持在脱机状态。
- 主动错误更正:除了在读取和写入之前验证数据外,ReFS 还会引入数据完整性扫描程序,称为清理器。此清理器会定期扫描卷,从而识别潜在损坏,然后主动触发损坏数据的修复。
ReFS 还具有性能敏感和虚拟化工作负载的功能。实时层优化、块克隆和稀疏有效数据长度这些不断发展的功能旨在支持动态与多种工作负载。在镜像加速奇偶校验中,ReFS会将卷划分为两个逻辑存储组,称为层。ReFS 会使用它们为热数据提供快速存储,以及为冷数据提供节省空间的存储。通过块克隆加速复制操作,能够实现快速且底影响的 VM 检查点合并操作。稀疏 VDL 能够让 ReFS 快速将文件清零,从而把创建固定虚拟硬盘所需的时间从几十分钟减少到仅仅几秒的时间。
ReFS 与 NTFS 的比较:
功能 | ReFS | NTFS |
最大文件名称长度 | 255 Unicode | 255 Unicode |
最大路径名称长度 | 32K Unicode | 32K Unicode |
文件大小上限 | 35PB | 256TB |
最大卷大小 | 35PB | 256TB |
块克隆 | √ | × |
稀疏 VDL | √ | × |
镜像加速奇偶校验 | √ | × |
文件级快照 | √ | × |
Transactions | × | √ |
对象 ID | × | √ |
ODX | × | √ |
短名称 | × | √ |
磁盘配额 | × | √ |
在可移动媒体上受支持 | × | √ |
可启动 | × | √ |
收缩 | × | √ |
推荐官方文档: Resilient File System (ReFS) overview | Microsoft Learn
下载:Windows Server Insider Preview
评估密钥:
- 标准版:MFY9F-XBN2F-TYFMP-CCV49-RMYVH
- 数据中心版:2KNJJ-33Y9H-2GXGX-KMQWH-G6H67
HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态
HOWTO: 通过 Intune 修正脚本来监视安全启动证书状态
去年11月份 gOxiA 分享了“HOWTO: 升级 Secure Boot 证书解决 2026年到期问题”的日志,看起来很多 IT 都在关注这个事情。如果当前组织正计划开始实施安全证书的更新,并且已经在基于 Intune 管理,那么强烈建议考虑通过 Intune 修正脚本来监视安全启动证书的状态。
微软官方给出了一套方案,使用一个 PowerShell 脚本来收集安全启动和证书状态,将这些清单数据输出为 JSON 字符串,并将其报告回 Intune,这样 IT 人员便可直观了解到每个设备的安全启动证书的状态信息,来采取对应的计划或措施。微软提供的脚本只用来收集对应信息,不会做任何变更动作,可放心使用。
从脚本内容可见会从以下源读取信息:
- 注册表 - HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot,获取安全启动证书更新状态、设备属性等信息。
- WMI/CIM - 获取 OS 版本、上次启动时间和主板硬件信息。
- 事件日志 - 收集事件ID 为 1801 和 1808 的系统事件,这两个 ID 事件为安全启动更新事件。
相关信息会转换为 JSON 字符串输出显示在 Intune 门户中,具体位置是“设备 - 脚本和修正”在列表中找到刚才添加的脚本条目,进入后在列中启用“修正前检测输出”,具体如下图所示,就能看到收集到的设备安全启动的相关信息。
要创建这个修正也很简单,进入 Intune 管理中心 - 设备 - 脚本和修正,添加脚本。然后定义个名称,并根据需要添加说明。
然后,上传 ps1 脚本文件,并确保“使用已登录的凭据运行此脚本”和“强制执行脚本签名检查”为“否”,并将“在 64 位 PowerShell 中运行脚本”设为“是”。
根据需要分配要收集数据额组,并配置一个计划,建议为每日执行。
在审阅界面确认配置无误便可创建。
需要注意的是,如果进入脚本和修正后无法在修正中添加脚本,则需要检查是否允许 Windows 许可证验证,为此 IT 管理员需要进入 Intune 租户管理 - 连接器和令牌中找到 Windows 数据选项来启用该配置。
推荐官方文档:
Monitoring Secure Boot certificate status with Microsoft Intune remediations | Microsoft Support
Microsoft Intune Remediations | Microsoft Learn
Enable Windows diagnostic data and license verification | Microsoft Learn
适用于 Win32 应用的 PowerShell 脚本安装程序
适用于 Win32 应用的 PowerShell 脚本安装程序
2026年新年伊始,Intune 公布了最新的功能 - 允许在添加 Win32 应用时上传 PowerShell 脚本作为安装程序,而不再只是指定命令行。在过去我们基本的流程是测试验证应用程序安装包的静默参数,然后根据需要准备安装脚本,并使用“Microsoft Win32 Content Prep Tool”对应用程序安装包进行 .intunewin 打包,然后在 Intune 中上传该文件包(.intunewin),提供相关的信息和安装命令行进行发布。
这种方法的繁琐程度也是显而易见,一旦需要修改安装脚本就需要重新打包上传安装包,即使是使用默认的命令行也需要维护这些安装包的安装信息。现在,Intune 允许在发布 Win32 应用时额外上传用于安装的 PowerShell 脚本,这一举措将极大提升 IT 的效率,简化发布流程。
如上图所示,我们可以将“安装程序类型”指定为“PowerShell 脚本”,然后单独上传用于安装的 ps1 文件即可,Intune 会自行将脚本与应用内容一起打包,并在与应用安装程序相同的上下文中运行该脚本。这对于要部署安装复杂应用的场景非常重要,我们可以在 ps1 中做正式安装前的检查工作,对安装过程中的配置更改,在安装后进行实例的验证,当然如果要基于设备状态和运行环境执行复杂条件逻辑,那基于此方式的安装都会非常便利,且不用再将 ps1 脚本与应用安装包一同打包 .intunewin 文件,也减少了维护的复杂度。
对于此 PowerShell 安装脚本的支持需要注意以下几点:
- 脚本的大小限制为 50KB
- 脚本与应用安装程序一致的上下文中运行
- 脚本中的返回代码会确定安装成功或失败状态
- 脚本应以无提示方式运行,无需用户交互
推荐官方参考:
What's new in Microsoft Intune - Week of January 12, 2026 | Microsoft Learn
