Поделиться через


Новые возможности Windows Server 2016

В этой статье описаны некоторые новые функции Windows Server 2016, которые, скорее всего, окажут наибольшее влияние во время работы с этим выпуском.

Вычисление

Область виртуализации охватывает продукты для виртуализации и средства разработки, развертывания и поддержки Windows Server для ИТ-специалистов.

Общие

Преимущества для физических и виртуальных машин — повышена точность времени благодаря усовершенствованию служб синхронизации Win32 Time и Hyper-V Time. Windows Server теперь может размещать службы, соответствующие предстоящим правилам, которые требуют точности 1 мс относительно UTC.

Hyper-V

Виртуализация сети Hyper-V (HNV) — это базовый стандартный блок обновленного решения Программно-определяемой сети (SDN) Корпорации Майкрософт и полностью интегрирован в стек SDN. Windows Server 2016 включает следующие изменения для Hyper-V:

  • Windows Server 2016 теперь включает программируемый коммутатор Hyper-V. Сетевой контроллер Майкрософт отправляет политики HNV вниз к агенту узла, работающему на каждом узле, с помощью протокола управления базами данных Open vSwitch (OVSDB) в качестве интерфейса southBound (SBI). Агент узла сохраняет эту политику с использованием кастомизации схемы VTEP и программирует сложные правила потока в высокопроизводительный движок потоков в коммутаторе Hyper-V. Подсистема потоков в коммутаторе Hyper-V совпадает с тем, что использует Azure. Весь стек SDN до сетевого контроллера и поставщика сетевых ресурсов также совместим с Azure, что обеспечивает производительность на уровне общедоступного облака Azure. В подсистеме потоков Майкрософт коммутатор Hyper-V оснащен для обработки правил потока без отслеживания состояния и отслеживания состояния с помощью простого механизма действия сопоставления, определяющего способ обработки пакетов в коммутаторе.

  • Теперь HNV поддерживает инкапсуляцию протокола Virtual eXtensible Local Area Network (VXLAN). HNV использует протокол VXLAN в режиме распространения MAC через сетевой контроллер Майкрософт для сопоставления IP-адресов клиента с ip-адресами физической подложки. Разгрузки задач NVGRE и VXLAN поддерживают сторонние драйверы для повышения производительности.

  • Windows Server 2016 включает подсистему балансировки нагрузки программного обеспечения (SLB) с полной поддержкой трафика виртуальной сети и простого взаимодействия с HNV. Производительный механизм потоков реализует SLB в плоскости данных vSwitch, а затем сетевой контроллер управляет ей для сопоставлений виртуальных (VIP) или динамических IP-адресов (DIP).

  • HNV реализует правильные заголовки Ethernet L2, чтобы обеспечить взаимодействие с сторонними виртуальными и физическими устройствами, зависящими от отраслевых стандартных протоколов. Корпорация Майкрософт гарантирует, что все передаваемые пакеты имеют соответствующие значения во всех полях для обеспечения взаимодействия. HNV требует поддержки Jumbo Frame (MTU > 1780) в физической сети L2, чтобы учитывать накладные расходы пакетов, введенных протоколами инкапсуляции, такими как NVGRE и VXLAN. Поддержка Jumbo Frame гарантирует, что гостевые виртуальные машины, подключенные к виртуальной сети HNV, сохраняют размер MTU 1514.

  • Поддержка контейнеров Windows добавляет улучшения производительности, упрощенное управление сетями и поддержку контейнеров Windows в Windows 10. Дополнительные сведения см. в нашей документации Windows Containers и Containers: Docker, Windows и Тенденции.

  • Hyper-V теперь совместим с режимом подключенного ожидания. При установке роли Hyper-V на компьютере, использующем модель питания Always On/Always Connected (AOAC), теперь ее можно настроить для использования состояния подключенной резервной мощности.

  • Дискретное назначение устройства позволяет предоставить виртуальным машинам прямой и эксклюзивный доступ к определенным аппаратным устройствам PCIe. Эта функция обходит стек виртуализации Hyper-V, обеспечивая более быстрый доступ. Дополнительные сведения см. в разделе "Дискретное назначение устройства" и "Дискретное назначение устройства" — описание и фон.

  • Hyper-V теперь поддерживает шифрование дисков BitLocker для дисков операционной системы в виртуальных машинах поколения 1. Этот метод защиты заменяет виртуальные доверенные платформенные модули (TPM), которые доступны только в виртуальных машинах поколения 2. Чтобы расшифровать диск и запустить виртуальную машину, узел Hyper-V должен быть частью авторизованной защищенной структуры или иметь закрытый ключ от одного из опекунов виртуальной машины. Для хранилища ключей требуется виртуальная машина версии 8. Дополнительные сведения см. в статье Об обновлении версии виртуальной машины в Hyper-V в Windows или Windows Server.

  • Защита ресурсов узла запрещает виртуальным машинам использовать слишком много системных ресурсов, отслеживая чрезмерные уровни активности. При мониторинге обнаруживается необычно высокий уровень активности на виртуальной машине, он регулирует объем ресурсов, потребляемых виртуальной машиной. Эту функцию можно включить, выполнив командлет Set-VMProcessor в PowerShell.

  • Теперь можно использовать горячее добавление или удаление сетевых адаптеров во время работы виртуальной машины без простоя на виртуальных машинах поколения 2 под управлением ос Linux или Windows. Вы также можете настроить объем памяти, назначенный виртуальной машине во время его работы, даже если вы не включили динамическую память на виртуальных машинах поколения 1 и 2 под управлением Windows Server 2016 и более поздних версий или Windows 10 и более поздних версий.

  • Диспетчер Hyper-V теперь поддерживает следующие функции:

    • Альтернативные учетные данные, которые позволяют использовать другой набор учетных данных в диспетчере Hyper-V при подключении к другому удаленному узлу Windows Server 2016 или Windows 10. Вы также можете сохранить эти учетные данные, чтобы упростить вход.

    • Теперь вы можете управлять Hyper-V на компьютерах под управлением Windows Server 2012 R2, Windows Server 2012, Windows 8.1 и Windows 8.

    • Диспетчер Hyper-V теперь взаимодействует с удаленными узлами Hyper-V с помощью протокола WS-MAN, который разрешает проверку подлинности CredSSP, Kerberos и NTLM. При использовании CredSSP для подключения к удаленному узлу Hyper-V можно выполнить динамическую миграцию без включения ограниченного делегирования в Active Directory. WS-MAN также упрощает включение хостов для удаленного управления. WS-MAN подключается через порт 80, который открыт по умолчанию.

  • Обновления служб интеграции для гостей Windows теперь распределяются через Центр обновления Windows. Поставщики услуг и узлы частного облака могут предоставлять клиентам, которым принадлежат виртуальные машины, контроль над применением обновлений. Теперь клиенты Windows могут обновлять свои виртуальные машины со всеми последними обновлениями с помощью одного метода. Дополнительные сведения о том, как клиенты Linux могут использовать службы интеграции, см. в статье Поддерживаемые виртуальные машины Linux и FreeBSD для Hyper-V в Windows Server и Windows.

    Внимание

    Hyper-V для Windows Server 2016 больше не включает файл образа vmguest.iso, так как он больше не требуется.

  • Операционные системы Linux, работающие на виртуальных машинах поколения 2, теперь могут загружаться с включенным параметром безопасной загрузки. Оси, поддерживающие безопасную загрузку на узлах Windows Server 2016, включают Ubuntu 14.04 и более поздних версий, SUSE Linux Enterprise Server 12 и более поздних версий, Red Hat Enterprise Linux 7.0 и более поздних версий, а также CentOS 7.0 и более поздних версий. Перед первой загрузкой виртуальной машины необходимо настроить его для использования центра сертификации Microsoft UEFI в диспетчере Hyper-V, диспетчер виртуальных машин или с помощью командлета Set-VMFirmware в PowerShell.

  • Виртуальные машины поколения 2 и узлы Hyper-V теперь могут использовать значительно больше памяти и виртуальных процессоров. Вы также можете настроить узлы с большей памятью и виртуальными процессорами, чем предыдущие версии. Эти изменения поддерживают такие сценарии, как выполнение больших баз данных в памяти для обработки транзакций в сети (OLTP) и хранения данных (DW) для электронной коммерции. Дополнительные сведения см. в статье о производительности крупномасштабной виртуальной машины Hyper-V Windows Server 2016 для обработки транзакций в памяти. Дополнительные сведения о совместимости версий и поддерживаемых максимальных конфигурациях при обновлении версии виртуальной машины в Hyper-V в Windows или Windows Server и планировании масштабируемости Hyper-V в Windows Server.

  • Функция вложенной виртуализации позволяет использовать виртуальную машину в качестве узла Hyper-V и создавать виртуальные машины в виртуализированном узле. Эту функцию можно использовать для создания сред разработки и тестирования, работающих по крайней мере под управлением Windows Server 2016 или Windows 10 с процессором с поддержкой Intel VT-x. Дополнительные сведения см. в разделе "Что такое вложенная виртуализация?".

  • Теперь можно настроить контрольные точки производства для соблюдения политик поддержки виртуальных машин с производственными нагрузками. Эти контрольные точки выполняются на гостевом устройстве с использованием технологии резервного копирования, а не сохраненного состояния. Виртуальные машины Windows используют службу моментальных снимков тома (VSS), а виртуальные машины Linux очищают буферы файловой системы для создания контрольных точек, согласованных с этой системой. Можно использовать контрольные точки, основанные на состояниях сохранения, или стандартные контрольные точки. Дополнительные сведения см. в разделе "Выбор между стандартными или рабочими контрольными точками" в Hyper-V.

    Внимание

    Новые виртуальные машины используют рабочие контрольные точки в качестве значения по умолчанию.

  • Теперь можно изменить размер общих виртуальных жестких дисков (.vhdx файлов) для гостевой кластеризации без простоя. Гостевые кластеры также можно использовать для защиты общих виртуальных жестких дисков с помощью реплики Hyper-V для аварийного восстановления. Эту функцию можно использовать только для коллекций в гостевом кластере, где вы включили репликацию с помощью WMI. Дополнительные сведения см. в разделе класс Msvm_CollectionReplicationService и Обзор общего доступа к виртуальным жестким дискам.

    Примечание.

    Невозможно управлять репликацией коллекции с помощью командлетов PowerShell или с помощью интерфейса WMI.

  • При резервном копировании одной виртуальной машины не рекомендуется использовать группу виртуальных машин или коллекцию моментальных снимков независимо от того, кластеризован ли узел или нет. Эти параметры предназначены для резервного копирования гостевых кластеров, использующих общий файл vhdx. Вместо этого рекомендуется создать моментальный снимок с помощью поставщика WMI Hyper-V (V2).

  • Теперь вы можете создать экранированные виртуальные машины Hyper-V, которые содержат функции, препятствующие администраторам Hyper-V на хосте или вредоносным программам от проверки, вмешательства или кражи данных из состояния экранированной виртуальной машины. Данные и состояние шифруются, чтобы администраторы Hyper-V не могли видеть выходные данные видео и доступные диски. Вы также можете ограничить запуск виртуальных машин только на тех узлах, которые сервер защиты узла определил как работоспособные и надежные. Дополнительные сведения см. в разделе Обзор защищенной структуры и экранированных виртуальных машин.

    Примечание.

    Экранированные виртуальные машины совместимы с репликой Hyper-V. Чтобы реплицировать экранированную виртуальную машину, необходимо авторизовать узел, который требуется реплицировать для запуска экранированной виртуальной машины.

  • Приоритет начального порядка для кластерных виртуальных машин обеспечивает больший контроль над тем, какие из них запускаются или перезапускаются первыми. Выбор приоритета заказа запуска позволяет запускать виртуальные машины, предоставляющие службы перед запуском виртуальных машин, использующих эти службы. Можно определить наборы, добавить виртуальные машины в наборы и указать зависимости с помощью командлетов PowerShell, таких как New-ClusterGroupSet, Get-ClusterGroupSet и Add-ClusterGroupSetDependency.

  • Файлы конфигурации используют расширение файла .vmcx, а файлы данных о состоянии среды выполнения используют расширение файла .vmrs. Эти новые форматы файлов предназначены для более эффективного чтения и записи. Обновленные форматы также снижают вероятность повреждения данных при сбое хранилища.

    Внимание

    Расширение .vmcx имени файла указывает двоичный файл. Hyper-V для Windows Server 2016 не поддерживает редактирование .vmcx или .vmrs файлы.

  • Мы обновили совместимость версий с виртуальными машинами версии 5. Эти виртуальные машины совместимы как с Windows Server 2012 R2, так и с Windows Server 2016. Однако виртуальные машины версии 5, совместимые с Windows Server 2019, могут работать только в Windows Server 2016, а не Windows Server 2012 R2. При перемещении или импорте виртуальной машины Windows Server 2012 R2 на сервер под управлением более поздней версии Windows Server необходимо вручную обновить конфигурацию виртуальной машины, чтобы использовать функции для более поздних версий Windows Server. Дополнительные сведения о совместимости версий и обновленных функциях см. в статье Об обновлении версии виртуальной машины в Hyper-V в Windows или Windows Server.

  • Теперь вы можете использовать функции безопасности на основе виртуализации для виртуальных машин поколения 2, таких как Device Guard и Credential Guard, для защиты ОС от вредоносных эксплойтов. Эти функции доступны на виртуальных машинах под управлением версии 8 или более поздней версии. Дополнительные сведения см. в статье Об обновлении версии виртуальной машины в Hyper-V в Windows или Windows Server.

  • Теперь можно запускать командлеты с помощью Windows PowerShell Direct, чтобы настроить виртуальную машину с хост-компьютера в качестве альтернативы VMConnect или Remote PowerShell. Вам не нужно соответствовать каким-либо требованиям к сети или брандмауэру или иметь специальную конфигурацию удаленного управления, чтобы начать использовать ее. Дополнительные сведения см. в статье "Управление виртуальными машинами Windows с помощью PowerShell Direct".

Nano Server

Теперь Nano Server имеет обновленный модуль для создания образов Nano Server, включая больше разделения функций физического узла и гостевой виртуальной машины и поддержки различных выпусков Windows Server. Дополнительные сведения см. в разделе "Установка Nano Server".

Существуют также улучшения консоли восстановления, включая разделение правил брандмауэра для входящего и исходящего трафика и возможность восстановления конфигурации WinRM.

Экранированные виртуальные машины

Windows Server 2016 предоставляет новые экранированные виртуальные машины на основе Hyper-V для защиты любой виртуальной машины поколения 2 от скомпрометированной структуры. В число функций, реализованных в Windows Server 2016, входят следующие:

  • Новый режим Поддержка шифрования обеспечивает более надежную защиту, чем для обычной виртуальной машины, но менее надежную, чем режим Экранирование. При этом он поддерживает vTPM, шифрование дисков, шифрование трафика динамической миграции и другие компоненты, в том числе такие преимущества непосредственного администрирования структуры, как подключение консоли виртуальной машины и Powershell Direct.

  • Полная поддержка для преобразования существующих неэкранированных виртуальных машин второго поколения в экранированные виртуальные машины, в том числе автоматическое шифрование дисков.

  • Диспетчер виртуальных машин Hyper-V теперь может просматривать фабрики, на которых экранированной виртуальной машине разрешено запускаться, предоставляя возможность администратору фабрики открыть ключевой защитник (KP) экранированной виртуальной машины и просмотреть фабрики, на которых ей разрешено работать.

  • Вы можете переключать режимы аттестации в работающей службе Host Guardian. Теперь вы можете переключаться на лету между менее безопасной, но более простой аттестацией на основе Active Directory и аттестацией на основе TPM.

  • Комплексные средства диагностики на основе Windows PowerShell, которые позволяют обнаружить неверные настройки или ошибки в защищенных узлах Hyper-V и службе защиты узла.

  • Среда восстановления, которая предоставляет возможность безопасно устранять неполадки и восстанавливать экранированные виртуальные машины в той инфраструктуре, где они обычно работают, при этом обеспечивая такой же уровень защиты, как и у самой экранированной виртуальной машины.

  • Поддержка защитной службы хостов для безопасного существующего Active Directory — вы можете указать защитной службе хостов использовать существующий лес Active Directory вместо создания собственного экземпляра Active Directory.

Дополнительные сведения и инструкции по работе с экранированных виртуальных машин см. в статье Guarded Fabric и экранированные виртуальные машины.

Идентификация и доступ

Новые функции в Identity улучшают способность организаций обеспечивать безопасность окружений Active Directory и помогают им перейти к облачным или гибридным развертываниям, где некоторые приложения и сервисы размещены в облаке, а другие — в локальной инфраструктуре.

Службы сертификатов Active Directory

Службы сертификатов Active Directory (AD CS) в Windows Server 2016 повышают поддержку аттестации ключей доверенного платформенного модуля. Теперь можно использовать KSP смарт-карт для аттестации ключей, а устройства, которые не присоединены к домену, теперь могут использовать регистрацию NDES для получения сертификатов, которые могут быть подтверждены ключами в доверенном модуле.

Управление привилегированным доступом

Управление привилегированным доступом (PAM) помогает смягчить проблемы безопасности в средах Active Directory, вызванные методами кражи учетных данных, такими как атака pass-the-hash, целевой фишинг и т. д. Вы можете настроить это новое решение для административного доступа с помощью Microsoft Identity Manager (MIM) и в ней представлены следующие функции:

  • Лес Бастиона Active Directory, подготовленный MIM, имеет специальное доверие PAM с существующим лесом. Леса бастиона — это новый тип среды Active Directory, которая свободна от вредоносных действий из-за изоляции от существующих лесов и разрешения доступа только к привилегированным учетным записям.

  • Новые процессы в MIM для запроса прав администратора, включая новые рабочие процессы для утверждения запросов.

  • Новые теневые учетные записи безопасности или группы, созданные в лесу бастиона MIM в ответ на запросы прав администратора. Теневые группы безопасности имеют атрибут, который ссылается на SID административной группы в существующем лесу. Это позволяет теневой группе получать доступ к ресурсам в существующих лесах без изменения списков управления доступом (ACL).

  • Функция создания ссылок с ограниченным сроком действия, предоставляющая временное членство в скрытой группе. Вы можете добавить пользователей в группу в течение определенного периода времени, позволяющего выполнять административные задачи. Временное членство настраивается значением времени жизни (TTL), которое распространяется на срок действия билета Kerberos.

    Примечание.

    Ссылки с истекающим сроком действия доступны для всех связанных атрибутов. Однако только связь атрибута member/memberOF между группой и пользователем предварительно настроена с PAM, чтобы использовать функцию истечения срока действия ссылок.

  • Встроенные усовершенствования контроллера домена Kerberos (KDC) позволяют контроллерам домена Active Directory ограничить время существования билета Kerberos самым низким значением TTL, если пользователи имеют несколько членства в административных группах с ограниченным временем. Например, если вы являетесь участником группы A с привязкой к времени, то при входе время существования билета Kerberos (TGT) равно сколько времени осталось в группе A. Если вы также присоединяетесь к группе B с ограничением времени, которая имеет более низкую TTL, чем группа A, то время существования TGT равно сколько времени осталось в группе B.

  • Новые возможности мониторинга, позволяющие определить, какие пользователи запрашивали доступ, какие права доступа предоставили администраторам, а также какие действия они выполняли при входе.

Дополнительные сведения о PAM см. в статье "Управление привилегированным доступом" для служб домен Active Directory.

Присоединение к Microsoft Entra

Подключение к Microsoft Entra улучшает работу с удостоверениями для корпоративных, бизнес- и образовательных клиентов, а также включает усовершенствованные функции для корпоративных и персональных устройств.

  • Современные параметры теперь доступны на корпоративных устройствах Windows. Вам больше не нужна личная учетная запись Майкрософт для использования основных возможностей Windows, и они запускаются с помощью существующих рабочих учетных записей пользователей для обеспечения соответствия требованиям. Эти службы работают на компьютерах, присоединенных к локальному домену и устройствам Windows, присоединенным к Microsoft Entra. К этим параметрам относятся:

    • Роуминг или персональные настройки, параметры специальных возможностей и учетные данные

    • Резервное копирование и восстановление

    • Доступ к Microsoft Store с помощью рабочей учетной записи

    • Живые плитки и уведомления

  • Доступ к ресурсам организации на мобильных устройствах, таких как телефоны и планшеты, которые не могут быть присоединены к домену Windows, независимо от того, принадлежат ли они корпорации или являются личными устройствами (BYOD).

  • Используйте единый вход для Office 365 и других корпоративных приложений, веб-сайтов и ресурсов.

  • На устройствах BYOD добавьте рабочую учетную запись из локального домена или Azure AD на личное устройство. Единый вход (SSO) можно использовать для доступа к рабочим ресурсам через приложения или в Интернете, соблюдая требования новых функций, таких как условный контроль учетной записи и аттестация состояния устройств.

  • Интеграция управления мобильными устройствами (MDM) позволяет автоматически регистрировать устройства в средство управления мобильными устройствами (MDM) (Microsoft Intune или стороннее).

  • Настройте режим киоска и общие устройства для нескольких пользователей в организации.

  • Интерфейс разработчика позволяет создавать приложения, которые обслуживают как корпоративные, так и личные контексты с общим стеком программирования.

  • Параметр создания образа позволяет выбрать между созданием образа и предоставлением возможности пользователям настраивать принадлежащие компании устройства непосредственно во время первого запуска.

Windows Hello для бизнеса

Windows Hello для бизнеса — это подход к проверке подлинности на основе ключей для организаций и потребителей, которые выходят за рамки паролей. Эта форма проверки подлинности зависит от учетных данных, устойчивых к нарушениям, краже и фишингу.

Пользователь входит на устройство с биометрическим или ПИН-кодом, связанным с сертификатом или асимметричной парой ключей. Поставщики удостоверений (IDPs) проверяют пользователя, сопоставляя открытый ключ пользователя с IDLocker и предоставляя данные для входа через одноразовый пароль (ОТП), по телефону или другим механизмом уведомлений.

Дополнительные сведения см. в Windows Hello для бизнеса.

Устаревание службы репликации файлов (FRS) и функциональных уровней Windows Server 2003

Хотя служба репликации файлов (FRS) и функциональные уровни Windows Server 2003 устарели в предыдущих версиях Windows Server, мы хотели бы напомнить вам, что AD DS больше не поддерживает Windows Server 2003. Необходимо удалить любой контроллер домена, работающий под управлением Windows Server 2003 из домена. Кроме того, необходимо повысить функциональный уровень домена и леса по крайней мере до Windows Server 2008.

На уровне функциональных возможностей Windows Server 2008 и более поздних доменов AD DS использует репликацию распределенной файловой службы (DFS) для репликации содержимого папки SYSVOL между контроллерами домена. Если вы создаете новый домен на функциональном уровне домена Windows Server 2008 или более поздней версии, репликация DFS автоматически реплицирует папку SYSVOL. Если вы создали домен на более низком функциональном уровне, необходимо перейти с использования FRS в репликацию DFS для папки SYSVOL. Дополнительные сведения о миграции см. в разделе "Установка, обновление" или "Миграция на Windows Server".

Дополнительные сведения см. на следующих ресурсах:

Федеративные службы Active Directory

В состав служб федерации Active Directory (AD FS) в Windows Server 2016 включены новые возможности, которые позволяют настраивать AD FS для проверки подлинности пользователей, хранящихся в каталогах LDAP.

Прокси-сервер веб-приложения

Последняя версия прокси-службы веб-приложения обеспечивает новые возможности для публикации и предварительной проверки подлинности дополнительных приложений, а также удобство работы пользователей. Ознакомьтесь с полным списком новых возможностей, включающих предварительную проверку подлинности многофункциональных клиентских приложений, таких как Exchange ActiveSync, и домены с подстановочными знаками для упрощения публикации приложений SharePoint. Дополнительные сведения см. в статье Прокси-служба веб-приложения в Windows Server 2016.

Администрирование

Область управления и автоматизации содержит средства и справочную информацию, которые необходимы ИТ-специалистам для запуска выпуска Windows Server 2016 и управления им, в том числе Windows PowerShell.

Windows PowerShell 5.1 содержит важные новые компоненты, в том числе поддержку разработки с использованием классов и новые средства безопасности, которые расширяют возможности использования, повышают удобство использования и упрощают комплексное управление средами для Windows. Подробнее см. в статье Новые сценарии и функции в WMF 5.1 для получения дополнительной информации.

Новые функции в Windows Server 2016: возможность запускать PowerShell.exe локально на сервере Nano Server (теперь доступ не только удаленный), новые командлеты для локальных пользователей и групп для замены графического интерфейса пользователя, реализована поддержка отладки PowerShell, а также поддержка ведения и расшифровки журнала безопасности и JEA в Nano Server.

Ниже приведены некоторые другие новые функции администрирования.

Настройка требуемого состояния (DSC) PowerShell в Windows Management Framework (WMF) 5

Windows Management Framework 5 включает в себя обновления для настройки требуемого состояния (DSC) Windows PowerShell, службы удаленного управления Windows (WinRM) и инструментария управления Windows (WMI).

Дополнительные сведения о тестировании возможностей DSC в Windows Management Framework 5 см. в серии записей блога Validate features of PowerShell DSC (Проверка компонентов PowerShell DSC). Чтобы скачать Windows Management Framework 5.1, перейдите в этот раздел.

Унифицированное управление пакетами PackageManagement для обнаружения программного обеспечения, установки и инвентаризации

Windows Server 2016 и Windows 10 включает новую функцию PackageManagement (раньше она называлась OneGet). С ее помощью ИТ-специалисты и разработчики могут автоматизировать удаленные или локальные операции обнаружения, установки и инвентаризации ПО. При этом не важно, какая технология установщика используется и где это ПО расположено.

Подробнее см. по адресу https://github.com/OneGet/oneget/wiki.

Усовершенствования PowerShell для облегчения цифровых расследований и снижения угроз безопасности

Чтобы помочь группе, расследующей нарушения безопасности (ее иногда называют "blue team"), мы добавили функции ведения журналов PowerShell и другие функциональные возможности цифровых расследований, а также возможности для сокращения числа уязвимостей в скриптах, например ограниченный режим в PowerShell и безопасные API CodeGeneration.

Более подробно см. в статье блога PowerShell ♥ Синей Команде.

Сеть

Эта область сети охватывает сетевые продукты и компоненты, позволяющие ИТ-специалистам проектировать, развертывать и обслуживать Windows Server 2016.

Программно-определяемая сеть

Программно-определяемая сеть (SDN) — это новое решение программно-определяемого центра обработки данных (SDDC), которое включает следующие функции:

  • Сетевой контроллер, который позволяет автоматизировать настройку сетевой инфраструктуры вместо выполнения ручной настройки сетевых устройств и служб. Сетевой контроллер использует передачу репрезентативного состояния (REST) в своем северном интерфейсе с полезными данными нотации объектов JavaScript (JSON). Южный интерфейс сетевого контроллера использует протокол управления базами данных Open vSwitch (OVSDB).

  • Новые возможности Hyper-V:

    • Виртуальный коммутатор Hyper-V, который позволяет создавать распределенное переключение и маршрутизацию, а также уровень применения политик, совместимый с Microsoft Azure. Дополнительные сведения см. в статье "Виртуальный коммутатор Hyper-V".

    • Удаленный прямой доступ к памяти (RDMA) и объединение встроенное в коммутатор (SET) при создании виртуальных коммутаторов. Вы можете настроить RDMA на сетевых адаптерах, связанных с виртуальным коммутатором Hyper-V, независимо от того, используете ли вы встроенную команду настройки (SET). SET может предоставить виртуальным коммутаторам аналогичные возможности, как объединение сетевых карт. Для получения более подробной информации см. Требования к сетям хоста для локальной версии Azure.

    • Виртуальные машины с несколькими очередями (VMMQ) улучшают производительность VMQ за счет выделения нескольких аппаратных очередей на каждую виртуальную машину. Очередь по умолчанию становится набором очередей для виртуальной машины и распределяет трафик между очередями.

    • Качество обслуживания (QoS) для софтверно определённых сетей управляет распределением трафика в классе по умолчанию через виртуальный коммутатор в рамках пропускной способности этого класса.

  • Виртуализация сетевых функций (NFV), которая позволяет зеркально или маршрутизировать сетевые функции, выполняемые аппаратными устройствами на виртуальные устройства, такие как подсистемы балансировки нагрузки, брандмауэры, маршрутизаторы, коммутаторы и т. д. Вы также можете развернуть весь стек SDN и управлять им с помощью диспетчера виртуальных машин System Center. Вы можете управлять сетью контейнеров Windows Server с помощью Docker и связывать политики SDN как с виртуальными машинами, так и контейнерами.

  • Брандмауэр центра обработки данных, предоставляющий подробные списки управления доступом (ACL), позволяющий применять политики брандмауэра на уровне интерфейса виртуальной машины или на уровне подсети. Дополнительные сведения см. в статье "Что такое брандмауэр центра обработки данных?".

  • Шлюз RAS, который позволяет маршрутизировать трафик между виртуальными сетями и физическими сетями, включая VPN-подключения типа "сеть — сеть" из облачного центра обработки данных на удаленные сайты клиентов. Протокол пограничного шлюза (BGP) позволяет развертывать и обеспечивать динамическую маршрутизацию между сетями для всех сценариев шлюзов, включая виртуальные частные сети (VPN) от сайта к сайту с использованием обмена ключами в Интернете версии 2 (IKEv2), VPN уровня 3 (L3) и шлюзы с инкапсуляцией универсальной маршрутизации (GRE). Шлюзы теперь также поддерживают пулы шлюзов и избыточность M+N. Дополнительные сведения см. в статье "Что такое шлюз службы удаленного доступа (RAS) для программно-определенных сетей?.

  • Программная подсистема балансировки нагрузки (SLB) и преобразование сетевых адресов (NAT) повышают пропускную способность, поддерживая прямой возврат сервера. Это позволяет возвращаемому сетевому трафику обойти мультиплексор балансировки нагрузки и может быть достигнуто с помощью подсистемы балансировки нагрузки уровня 4 и NAT в направлениях север-юг и восток-запад. Дополнительные сведения см. в статье "Что такое подсистема балансировки нагрузки программного обеспечения ( SLB) для SDN? и виртуализация сетевых функций.

  • Гибкие технологии инкапсуляции, работающие на плоскости данных и поддерживающие виртуальную расширяемую локальную сеть (VxLAN) и инкапсуляцию универсальной маршрутизации виртуализации сети (NVGRE).

Дополнительные сведения см. в статье, посвященной планированию инфраструктуры программно-конфигурируемой сети.

Основы масштабирования облака

Windows Server 2016 включает следующие основы масштабирования облака:

  • Конвергентная сетевая карта (сетевая карта), которая позволяет использовать один сетевой адаптер для управления, хранилища с поддержкой удаленного прямого доступа к памяти (RDMA) и трафика клиента. Конвергентный сетевой адаптер сокращает затраты на каждый сервер в центре обработки данных, так как для управления различными типами трафика на сервер требуется меньше сетевых адаптеров.

  • Пакет Direct обеспечивает высокую пропускную способность сетевого трафика и инфраструктуру обработки пакетов с низкой задержкой.

  • Switch Embedded Teaming (SET) — это решение для объединения сетевых карт, интегрированное в виртуальный коммутатор Hyper-V. SET позволяет объединить до восьми физических сетевых адаптеров в одну команду SET, что улучшает доступность и обеспечивает отказоустойчивость. В Windows Server 2016 можно создавать группы SET, которые ограничены использованием блока сообщений сервера (SMB) и RDMA. Вы также можете использовать команды SET для распространения сетевого трафика для виртуализации сети Hyper-V. Для получения дополнительной информации см. Требования к сети узла для Azure Local.

Повышенная производительность TCP

Начальный период перегрузки (ICW) по умолчанию был увеличен с 4 до 10, а также была реализована функция TCP Fast Open (TFO). TFO сокращает время, необходимое для установки TCP-соединения, а увеличенный период ICW позволяет передавать более крупные объекты в рамках начальной отправки. Такое сочетание может значительно снизить время, необходимое для передачи интернет-объекта между клиентом и облаком.

Чтобы улучшить поведение TCP при восстановлении после потери пакетов, мы реализовали пробу потери хвоста TCP (TLP) и последнее подтверждение (RACK). TLP позволяет преобразовать время ожидания повторной передачи в быстрое восстановление, а RACK сокращает время, необходимое быстрому восстановлению для повторной передачи потерянного пакета.

Протокол динамической конфигурации узлов сети (DHCP)

Протокол конфигурации динамического узла (DHCP) имеет следующие изменения в Windows Server 2016:

  • Начиная с Windows 10 версии 2004, при запуске клиента Windows и подключении к Интернету с помощью подключенного устройства Android подключения теперь помечены как лимитные. Традиционное имя поставщика клиента, которое появилось как MSFT 5.0 на некоторых устройствах Windows, теперь MSFT 5.0 XBOX.

  • Начиная с Windows 10 версии 1803, DHCP-клиент теперь может считывать и применять вариант 119, параметр "Поиск домена" с DHCP-сервера, к которому подключается система. Параметр поиска домена также предоставляет суффиксы служб доменных имен (DNS) для запросов DNS сокращённых имён. Дополнительные сведения см. в статье RFC 3397.

  • DHCP теперь поддерживает вариант 82 (под-вариант 5). Этот параметр можно использовать, чтобы разрешить прокси-клиентам DHCP и агентам ретранслятора запрашивать IP-адрес для определенной подсети. Если вы используете агент ретрансляции DHCP, настроенный с параметром DHCP 82 (под вариантом 5), агент ретранслятора может запросить аренду IP-адресов для DHCP-клиентов из определенного диапазона IP-адресов. Дополнительные сведения см. в разделе "Параметры выбора подсети DHCP".

  • Новые события ведения журнала для сценариев, когда регистрация записей DNS завершается ошибкой на DNS-сервере. Дополнительные сведения см. в разделе "События ведения журнала DHCP" для регистрации DNS.

  • Роль DHCP-сервера больше не поддерживает защиту доступа к сети (NAP). DHCP-серверы не применяют политики NAP, а области DHCP не могут быть настроены для поддержки NAP. Клиентские компьютеры DHCP, которые также являются клиентами NAP, отправляют отчет о состоянии работоспособности (SoH) вместе с запросом DHCP. Если DHCP-сервер работает под управлением Windows Server 2016, эти запросы обрабатываются так, как если бы нет soH. DHCP-сервер предоставляет клиенту обычную аренду DHCP. Если серверы под управлением Windows Server 2016 являются прокси-серверами удаленной службы пользователей (RADIUS), которые перенаправляют запросы проверки подлинности на сервер политики сети (NPS), поддерживающий NAP, NPS оценивает эти клиенты как не поддерживающие NAP, что приводит к сбою обработки NAP. Дополнительные сведения о NAP и устаревании NAP см. в разделе Удаленные или устаревшие функции в Windows Server 2012 R2.

Туннелирование GRE

Шлюз RAS теперь поддерживает туннели инкапсуляции универсальной маршрутизации (GRE) с высокой доступностью для подключений типа "сеть — сеть" и M+N резервирование шлюзов. GRE — это легковесный протокол туннелирования, который инкапсулирует широкий спектр сетевых протоколов внутри виртуальных одноранговых соединений через Интернет-протокол. Дополнительные сведения см. в разделе " Туннелирование GRE" в Windows Server 2016.

Управление IP-адресами (IPAM)

IPAM имеет следующие обновления:

  • Расширенное управление IP-адресами. IPAM улучшила возможности для таких сценариев, как обработка подсетей IPv4 /32 и IPv6 /128 и поиск бесплатных подсетей IP-адресов и диапазонов в блоке IP-адресов.

  • Теперь можно запустить Find-IpamFreeSubnet командлет, чтобы найти доступные подсети для выделения. Эта функция не выделяет подсети, только сообщает о их доступности. Однако вы можете передать выходные данные командлета командлету Add-IpamSubnet для создания подсети. Дополнительные сведения см. в разделе Find-IpamFreeSubnet.

  • Теперь можно запустить командлет Find-IpamFreeRange, чтобы найти доступные диапазоны IP-адресов в IP-блоке, длину префикса и количество запрошенных подсетей. Этот командлет не выделяет диапазон IP-адресов, только сообщает о доступности. Однако вы можете перенаправить выходные данные в командлет AddIpamRange, чтобы создать диапазон. Дополнительные сведения см. в разделе Find-IpamFreeRange.

  • Расширенное управление службами DNS:

    • Коллекция записей ресурсов DNS для DNS-серверов, отличных от DNSSEC.

    • Настройка свойств и операций для всех типов записей ресурсов, отличных от DNSSEC.

    • Управление зонами DNS для серверов, присоединенных к домену и интегрированных с Active Directory, либо серверов DNS с файловой поддержкой. Вы можете управлять всеми типами зон DNS, включая основные, вторичные и заглушечные зоны.

    • Запускайте задачи на вторичных и заглушных зонах независимо от того, являются ли они прямыми или обратными зонами поиска.

    • Управление доступом на основе ролей для поддерживаемых конфигураций DNS для записей и зон.

    • Условные пересылки

  • Интегрированное управление DNS, DHCP и IP-адресами (DDI). Теперь можно просмотреть все записи ресурсов DNS, связанные с IP-адресом, в инвентаризации IP-адресов. Вы также можете автоматически сохранять записи указателей (PTR) IP-адресов и управлять жизненными циклами IP-адресов для операций DNS и DHCP.

  • Поддержка нескольких лесов Active Directory. Вы можете использовать IPAM для управления DNS и DHCP-серверами нескольких лесов Active Directory, если между лесом, где установлен IPAM, и каждым из удаленных лесов существует двустороннее отношение доверия. Дополнительную информацию см. в разделе «Управление ресурсами в нескольких лесах Active Directory».

  • Функция очистки данных об использовании позволяет уменьшить размер базы данных IPAM, удалив старые данные об использовании IP-адресов. Просто укажите дату и IPAM удаляет все записи базы данных старше указанной даты или равной дате. Дополнительные сведения см. в разделе Очистка данных об использовании.

  • Теперь можно использовать контроль доступа на основе ролей (RBAC) для определения областей доступа для объектов IPAM в PowerShell. Дополнительные сведения см. в статье «Управление контролем доступа на основе ролей с помощью Windows PowerShell» и «Командлеты сервера управления IP-адресами (IPAM) в Windows PowerShell».

Дополнительные сведения см. в разделе "Управление IPAM".

Безопасность и контроль

Область безопасности и контроля включает решения и компоненты в области безопасности, которые ИТ-специалисты могут развертывать в центре обработки данных и облачном окружении. Общие сведения о безопасности в Windows Server 2016 см. в статье Безопасность и контроль.

Минимальное администрирование

Just Enough Administration в Windows Server 2016 — это технология безопасности, позволяющая делегировать администрирование всех компонентов, которыми можно управлять через Windows PowerShell. Возможности включают в себя поддержку выполнения с сетевым удостоверением, подключения через PowerShell Direct, безопасное копирование файлов из конечных точек JEA или в них, а также настройку консоли PowerShell для запуска в контексте JEA по умолчанию. Дополнительные сведения см. в разделе JEA на GitHub.

Защита учетных данных

Для защиты секретов Credential Guard использует безопасность на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным. Дополнительные сведения см. в разделе "Защита производных учетных данных домена с помощью Credential Guard".

Credential Guard для Windows Server 2016 включает следующие обновления для сеансов пользователей, вошедших в систему:

  • Kerberos и New Technology LAN Manager (NTLM) используют безопасность на основе виртуализации для защиты секретов Kerberos и NTLM для сеансов пользователей, вошедших в систему.

  • Диспетчер учетных данных защищает сохраненные учетные данные домена с помощью безопасности на основе виртуализации. Учетные данные входа и сохраненные учетные данные домена не передаются удаленным узлам с помощью удаленного рабочего стола.

  • Вы можете включить Credential Guard без блокировки единого расширяемого интерфейса встроенного ПО (UEFI).

Удаленная защита удостоверений

Credential Guard поддерживает сеансы RDP, чтобы учетные данные пользователя оставались на стороне клиента и не предоставляются на стороне сервера. Это также обеспечивает единый вход для удаленного рабочего стола. Дополнительные сведения см. в разделе "Защита производных учетных данных домена с помощью Credential Guard в Защитнике Windows".

Remote Credential Guard для Windows Server 2016 включает следующие обновления для пользователей, вошедших в систему.

  • Remote Credential Guard сохраняет секреты Kerberos и NTLM для учетных данных пользователя, выполнившего вход на клиентском устройстве. Все запросы на аутентификацию от удаленного узла для оценки сетевых ресурсов требуют, чтобы клиентское устройство использовало секреты.

  • Remote Credential Guard защищает предоставленные учетные данные пользователя при использовании удаленного рабочего стола.

Защита домена

Теперь для защиты домена требуется домен Active Directory.

Поддержка расширения PKInit Freshness

Клиенты Kerberos теперь используют расширение свежести PKInit для аутентификации на основе открытого ключа.

Теперь KDCs поддерживают расширение свежести PKInit. Однако по умолчанию они не предлагают расширение для обеспечения свежести PKInit.

Дополнительные сведения см. в статье о поддержке клиентов Kerberos и KDC для расширения свежести RFC 8070 PKInit.

Изменяющийся открытый ключ только для секретов NTLM пользователя

Начиная с уровня функциональных возможностей домена Windows Server 2016 (DFL), контроллеры домена теперь поддерживают развертывание секретов NTLM для пользователя только с открытым ключом. Эта функция недоступна на более низких уровнях функционирования домена (DFLs).

Предупреждение

Добавление включенного контроллера домена до обновления от 8 ноября 2016 года в домен, поддерживающий хранение секретов NTLM, может привести к сбою контроллера домена.

Для новых доменов эта функция включена по умолчанию. Для существующих доменов необходимо настроить его в Центре администрирования Active Directory.

В Центре администрирования Active Directory щелкните правой кнопкой мыши домен в левой области и выберите "Свойства". Установите флажок Включить обновление истекающих секретов NTLM при входе для пользователей, которым необходимо использовать Windows Hello для бизнеса или смарт-карту для интерактивного входа. После этого нажмите кнопку "ОК ", чтобы применить это изменение.

Разрешение использования сетевого NTLM, когда пользователь ограничен конкретными устройствами, присоединенными к домену.

Теперь контроллеры домена могут поддерживать использование сети NTLM, если пользователь ограничен использованием определенных устройств, присоединенных к домену, на Windows Server 2016 DFL и выше. Эта функция недоступна в DFLs под управлением более ранней операционной системы, чем Windows Server 2016.

Чтобы настроить этот параметр, в политике проверки подлинности выберите разрешить проверку подлинности сети NTLM, если пользователь ограничен выбранными устройствами.

Дополнительные сведения см. в разделе Политики проверки подлинности и силосы политик проверки подлинности.

Device Guard (целостность кода)

Device Guard обеспечивает целостность кода режима ядра (KMCI) и целостность кода пользовательского режима (UMCI) путем создания политик, которые указывают, какой код может выполняться на сервере. См. Введение в Windows Defender Device Guard: политика безопасности на основе виртуализации и целостности кода.

Защитник Windows

Обзор Защитника Windows для Windows Server 2016. Антивредоносная программа Windows Server устанавливается и включена по умолчанию в Windows Server 2016, но пользовательский интерфейс для антивредоносного ПО Windows Server не установлен. Тем не менее, Windows Server Antimalware будет обновлять определения для антивредоносного ПО и защищать компьютер без пользовательского интерфейса. Если вам требуется пользовательский интерфейс для Windows Server Antimalware, его можно установить после установки операционной системы, воспользовавшись мастером добавления ролей и компонентов.

Защита потока управления

Функция контроля потока (CFG) — это функция безопасности платформы, созданная для борьбы с уязвимостями из-за повреждения памяти. Дополнительные сведения см. в статье Защита потока управления.

Хранилище

Хранилище в Windows Server 2016 включает новые функции и улучшения программно-определяемого хранилища и традиционных файловых серверов.

Storage Spaces Direct

Storage Spaces Direct позволяет создавать масштабируемые хранилища с высоким уровнем доступности с использованием серверов с локальными накопителями. Это упрощает развертывание и управление программно-определяемыми системами хранения и позволяет использовать новые классы дисковых устройств, таких как диски SATA SSD и диски NVMe, которые ранее не были доступны с кластеризованными дисковые пространства с общими дисками.

Дополнительные сведения см. в Storage Spaces Direct.

Storage Replica

Реплика Storage Replica обеспечивает независимую от хранилища, синхронную репликацию на уровне блоков между серверами или кластерами для аварийного восстановления и позволяет расширить отказоустойчивый кластер между разными площадками. Синхронная репликация позволяет зеркально отображать данные в физических расположениях с отказоустойчивыми томами, что полностью предотвращает потерю данных на уровне файловой системы. Асинхронная репликация позволяет расширение площадки за пределами городских границ с возможной потерей данных.

Дополнительные сведения см. в статье Реплика хранилища.

Качество обслуживания хранилища

Функцию качества обслуживания хранилища (QoS) теперь можно использовать для централизованного отслеживания общей производительности хранилища, а также для создания политик управления с помощью Hyper-V и кластеров CSV в Windows Server 2016.

Дополнительные сведения см. в статье Качество обслуживания хранилища.

Дедупликация данных

Windows Server 2016 включает следующие новые возможности дедупликации данных.

Поддержка больших объёмов

Начиная с Windows Server 2016 конвейер задания дедупликации данных теперь может выполнять несколько потоков параллельно с использованием множества очередей ввода-вывода для каждого тома. Это изменение повышает производительность до уровней, которые ранее возможны только путем разделения данных на несколько небольших томов. Эти улучшения относятся ко всем заданиям дедупликации данных, а не только к заданию оптимизации. На следующей схеме показано, как конвейер изменился между версиями Windows Server.

Визуализация, сравнивающая конвейер заданий дедупликации данных в Windows Server 2012 R2 с Windows Server 2016.

Благодаря этим улучшениям производительности, в операционной системе Windows Server 2016 дедупликация данных обеспечивает высокую производительность на томах до 64 ТБ.

Поддержка больших файлов

Начиная с Windows Server 2016, дедупликация данных использует структуры карт потоков и другие улучшения для повышения эффективности оптимизации и быстродействия доступа. Поток обработки дедупликации может также возобновить оптимизацию после сценариев переключения при отказе, вместо того чтобы начинать сначала. Это изменение повышает производительность файлов до 1 ТБ, позволяя администраторам применять экономию дедупликации к большему диапазону рабочих нагрузок, таких как большие файлы, связанные с рабочими нагрузками резервного копирования.

Поддержка Nano Server

Nano Server — это вариант развертывания без головы в Windows Server 2016, который требует гораздо меньшего объема ресурсов системы, запускается значительно быстрее и требует меньше обновлений и перезапусков, чем вариант развертывания Windows Server Core. Nano Server также полностью поддерживает дедупликацию данных. Дополнительные сведения о Nano Server см. в разделе "Базовые образы контейнеров".

Упрощенная конфигурация для виртуализированных приложений резервного копирования

Начиная с Windows Server 2016 дедупликация данных для сценариев виртуализированных приложений резервного копирования значительно упрощена. Этот сценарий теперь является предопределенным параметром типа использования. Вам больше не нужно вручную настраивать параметры дедупликации, просто включите Дедупликацию для тома, как это делается для серверов общего пользования и инфраструктуры виртуальных рабочих столов (VDI).

Поддержка последовательного обновления ОС кластера

Кластеры отказоустойчивости Windows Server с дедупликацией данных могут содержать узлы, работающие под управлением Windows Server 2012 R2 и Windows Server 2016, с разными версиями дедупликации данных. Эта функция кластера в смешанном режиме предоставляет полный доступ ко всем дедупликированным томам во время пошагового обновления кластера. Теперь вы можете постепенно развертывать более поздние версии дедупликации данных в кластерах под управлением более ранних версий Windows Server без простоя.

Теперь можно использовать последовательное обновление в Hyper-V. При обновлении кластера Hyper-V теперь можно добавить узел под управлением Windows Server 2019 или Windows Server 2016 в кластер Hyper-V с узлами под управлением Windows Server 2012 R2. После добавления узла под управлением более поздней версии Windows Server можно обновить остальную часть кластера без простоя. Кластер выполняется на уровне компонентов Windows Server 2012 R2, пока не обновите все узлы в кластере и запустите Update-ClusterFunctionalLevel в PowerShell, чтобы обновить уровень функционирования кластера. Дополнительные сведения о том, как работает процесс последовательного обновления, см. в статье "Последовательное обновление операционной системы кластера".

Примечание.

Hyper-V в Windows 10 не поддерживает отказоустойчивую кластеризацию.

Улучшение защиты SMB для подключений к ресурсам SYSVOL и NETLOGON

В Windows 10 и Windows Server 2016 клиентские подключения к службам домен Active Directory используют общие папки SYSVOL и NETLOGON на контроллерах домена по умолчанию. Теперь эти подключения требуют подписывания SMB и взаимной проверки подлинности с помощью таких служб, как Kerberos. При отсутствии подписи SMB и взаимной проверки подлинности компьютер под управлением Windows 10 или Windows Server 2016 не сможет обрабатывать групповую политику и скрипты доменных устройств. Это изменение защищает устройства от атак злоумышленника в середине.

Примечание.

Значения реестра для этих параметров по умолчанию отсутствуют, но правила защиты по-прежнему применяются, пока не переопределите их, изменив групповую политику или другие значения реестра.

Дополнительные сведения об этих улучшениях безопасности см. в статье MS15-011: уязвимость в групповой политике и MS15-011 и MS15-014: защита групповой политики.

Рабочие папки

Функции Windows Server 2016 улучшили уведомление об изменениях, когда сервер рабочих папок работает под управлением Windows Server 2016, а клиент рабочих папок — Windows 10. Когда изменения файлов синхронизируются с сервером рабочих папок, сервер теперь немедленно уведомляет клиентов Windows 10, а затем синхронизирует изменения этих файлов.

ReFS

Следующая итерация ReFS обеспечивает поддержку крупномасштабных развертываний хранилища с различными рабочими нагрузками, обеспечение надежности, устойчивости и масштабируемости данных.

ReFS представляет следующие улучшения:

  • Новые функциональные возможности уровня хранилища, обеспечивая более высокую производительность и увеличение емкости хранилища, включая следующие:

    • Несколько типов устойчивости на одном виртуальном диске с использованием зеркального отображения на уровне производительности и четности на уровне емкости.

    • Повышенная скорость реагирования на изменение рабочих наборов.

  • В этой статье описывается клонирование блоков для повышения производительности операций виртуальной машины, таких как .vhdx операции слияния контрольных точек.

  • Новое средство сканирования ReFS, которое поможет вам восстановить утечку хранилища и спасти данные из критически важных повреждений.

Отказоустойчивый кластер

Windows Server 2016 включает множество новых функций и улучшений для нескольких серверов, сгруппированных в один отказоустойчивый кластер с помощью функции отказоустойчивой кластеризации.

Последовательное обновление ОС кластера

Обновление операционной системы кластера позволяет администратору обновить операционную систему узлов кластера с Windows Server 2012 R2 до Windows Server 2016 без остановки рабочих нагрузок файлового сервера Hyper-V или Scale-Out. Эту функцию можно использовать для избежания штрафов за простои в рамках соглашений об уровне обслуживания (SLA).

Дополнительные сведения см. в статье о последовательном обновлении операционной системы кластера.

Облачный свидетель

Облачный свидетель — это новый тип свидетеля кворума отказоустойчивого кластера в Windows Server 2016, который использует Microsoft Azure в качестве точки арбитража. Облачный свидетель, как и любой другой свидетель кворума, получает голосование и может участвовать в вычислениях кворума. Вы можете настроить облачного свидетеля в качестве свидетеля кворума с помощью мастера настройки кворума кластера.

Дополнительные сведения см. в статье Развертывание свидетеля кворума.

Устойчивость виртуальных машин

Windows Server 2016 включает повышенную устойчивость вычислительных ресурсов виртуальной машины, чтобы снизить проблемы с взаимодействием между кластерами в вычислительном кластере. Эта повышенная устойчивость включает следующие обновления:

  • Теперь можно настроить следующие параметры, чтобы определить поведение виртуальных машин во время временных сбоев:

    • Уровень устойчивости определяет, как следует обрабатывать временные сбои при развертывании.

    • Период устойчивости определяет, сколько времени все виртуальные машины могут выполняться в изолированном режиме.

  • Неработоспособные узлы помещаются в карантин и больше не могут присоединяться к кластеру. Эта функция запрещает неработоспособным узлам отрицательно влиять на другие узлы и общий кластер.

Дополнительные сведения о функциях устойчивости вычислений см. в статье "Устойчивость вычислений виртуальных машин" в Windows Server 2016.

Виртуальные машины Windows Server 2016 также включают новые функции устойчивости хранилища для обработки временных сбоев хранилища. Улучшенная устойчивость помогает сохранить состояния сеанса виртуальной машины клиента в случае сбоя хранилища. Когда виртуальная машина отключается от базового хранилища, она приостанавливает и ожидает восстановления хранилища. При приостановке виртуальная машина сохраняет контекст приложений, работающих в нем во время сбоя хранилища. При восстановлении подключения между виртуальной машиной и хранилищем виртуальная машина возвращается в состояние выполнения. В результате состояние сеанса компьютера клиента сохраняется при восстановлении.

Новые функции устойчивости хранилища также применяются к гостевым кластерам.

Усовершенствования диагностики:

Чтобы диагностировать проблемы с отказоустойчивыми кластерами, Windows Server 2016 включает в себя следующее:

Отказоустойчивые кластеры с поддержкой нескольких площадок

Windows Server 2016 включает отказоустойчивые кластеры, позволяющие группировать узлы в распределённых кластерах на основе их физического расположения или сайта. Осведомленность о сайте кластера улучшает ключевые операции во время жизненного цикла кластера, такие как поведение в случае отказа, политики размещения, обмен сигналами между узлами и поведение кворума. Дополнительные сведения см. в разделе "Отказоустойчивые кластеры с поддержкой сайта в Windows Server 2016".

Кластеры рабочей группы и кластеры с несколькими доменами

В Windows Server 2012 R2 и более ранних версиях кластер можно создать только между узлами-членами, присоединенными к одному домену. В Windows Server 2016 это ограничение снято, а также добавлена возможность создавать отказоустойчивый кластер без зависимостей от Active Directory. Теперь можно создать отказоустойчивые кластеры в следующих конфигурациях:

  • Кластеры с одним доменом, в которых все узлы присоединены к одному домену.

  • Кластеры с несколькими доменами, которые имеют узлы, являющиеся членами различных доменов.

  • Кластеры рабочей группы, которые имеют узлы, являющиеся серверами-членами или рабочими группами, которые не присоединены к домену.

Дополнительные сведения см. в разделе "Рабочие группы и кластеры с несколькими доменами" в Windows Server 2016

Балансировка нагрузки виртуальных машин

Балансировка нагрузки виртуальных машин — это новая функция отказоустойчивой кластеризации, которая легко балансирует нагрузку виртуальных машин между узлами в кластере. Эта функция определяет перезавернутые узлы на основе памяти виртуальной машины и использования ЦП на узле. Затем он переносит виртуальные машины с перегруженного узла на узлы с доступной пропускной способностью. Вы можете настроить, насколько агрессивно функция балансирует узлы, чтобы обеспечить оптимальную производительность и использование кластера. Балансировка нагрузки включена по умолчанию в Windows Server 2016 Technical Preview. Однако балансировка нагрузки отключена при включенной динамической оптимизации SCVMM.

Порядок запуска виртуальной машины

Порядок запуска виртуальной машины — это новая функция в отказоустойчивом кластеринге, обеспечивающая оркестрацию порядка запуска для виртуальных машин и других групп в кластере. Теперь виртуальные машины можно группировать на уровни, а затем создавать зависимости порядка запуска между разными уровнями. Эти зависимости обеспечивают, чтобы наиболее важные виртуальные машины, такие как контроллеры домена или служебные виртуальные машины, запускались сначала. Виртуальные машины на более низких уровнях приоритета не запускаются до тех пор, пока не будут запущены те виртуальные машины, от которых они зависят.

Упрощенные кластерные сети SMB Multichannel и Multi-NIC

Сети отказоустойчивого кластера больше не ограничиваются одной сетевой картой (NIC) на подсеть или сеть. Благодаря упрощенному блоку сообщений сервера (SMB) с поддержкой Multichannel и сетям кластера с несколькими сетевыми интерфейсами, конфигурация сети выполняется автоматически, и каждая сетевая карта в подсети может использоваться для трафика кластера и рабочей нагрузки. Это улучшение позволяет клиентам максимизировать пропускную способность сети для Hyper-V, экземпляра отказоустойчивого кластера SQL Server и других рабочих нагрузок SMB.

Дополнительные сведения см. в разделе "Упрощенная сеть SMB Multichannel" и "Многоканальные кластерные сети".

Разработка приложений

Интернет-информационные службы (IIS) 10.0

Новые возможности веб-сервера IIS 10.0 в Windows Server 2016:

  • Поддержка протокола HTTP/2 в стеке сети и интеграция с IIS 10.0, благодаря которой веб-сайты IIS 10.0 могут автоматически обрабатывать запросы HTTP/2 для поддерживаемых конфигураций. Это позволяет сделать множество улучшений по сравнению с HTTP/1.1, таких как более эффективное повторное использование подключений и уменьшение задержки, что улучшает время загрузки веб-страниц.
  • Возможность запускать службы IIS 10.0 и управлять ими в Nano Server. Сведения об IIS на сервере Nano Server.
  • Поддержка подстановочных заголовков хоста, благодаря которой администраторы могут настроить веб-сервер для домена так, чтобы веб-сервер обрабатывал запросы для любых поддоменов.
  • Новый модуль PowerShell (IISAdministration) для управления IIS.

Дополнительные сведения см. в разделе IIS.

Координатор распределенных транзакций (MSDTC)

В Microsoft Windows 10 и Windows Server 2016 добавлены три новые возможности:

DNS-сервер

Windows Server 2016 содержит следующие обновления для DNS-сервера.

Политики DNS

Политики DNS можно настроить, чтобы указать, как DNS-сервер отвечает на запросы DNS. Вы можете настроить ответы DNS на основе IP-адреса клиента, времени дня и нескольких других параметров. Политики DNS могут включать DNS с учетом местоположения, управление трафиком, балансировку нагрузки, разделенный DNS и другие сценарии использования. Дополнительные сведения см. в руководстве по сценарию политики DNS.

RRL

Вы можете включить ограничение скорости отклика (RRL) на DNS-серверах, чтобы предотвратить использование DNS-серверов для инициирования атаки распределенного отказа в обслуживании (DDoS) на DNS-клиенте. RRL не позволяет DNS-серверу отвечать на слишком много запросов одновременно, что защищает его во время сценариев, когда ботнет отправляет несколько запросов одновременно, чтобы попытаться нарушить работу сервера.

Поддержка DANE

Вы можете использовать поддержку проверки подлинности именованных сущностей на основе DNS (DANE) (RFC 6394 и RFC 6698), чтобы указать, от какого удостоверяющего центра клиенты DNS должны ожидать сертификатов для доменов, размещенных на вашем DNS-сервере. Это предотвращает атаку типа man-in-the-middle, в которой злоумышленник повреждает кэш DNS и указывает DNS-имя на собственный IP-адрес.

Поддержка неизвестной записи.

Вы можете добавить записи, которые DNS-сервер не поддерживает явно с помощью функции неизвестной записи. Запись неизвестна, если DNS-сервер не распознает его формат RDATA. Windows Server 2016 поддерживает неизвестные типы записей (RFC 3597), поэтому вы можете добавлять неизвестные записи в зоны DNS-сервера Windows в двоичном формате на проводе. Резолвер кэширования в Windows уже может обрабатывать неизвестные типы записей. DNS-сервер Windows не выполняет специфическую обработку для неизвестных записей, но может отправлять их в ответ на полученные запросы.

Корневые подсказки IPv6

Теперь DNS-сервер Windows включает в себя корневые подсказки IPv6, опубликованные центром назначения номеров Интернета (IANA). Поддержка корневых подсказок IPv6 позволяет выполнять интернет-запросы, использующие корневые серверы IPv6 для разрешения имен.

Поддержка Windows PowerShell

Windows Server 2016 включает новые команды, которые можно использовать для настройки DNS в PowerShell. Дополнительные сведения см. в модуле DnsServer Windows Server 2016 и модуле Windows Server 2016 DnsClient.

Поддержка Nano Server для DNS на основе файлов

Dns-серверы можно развернуть в Windows Server 2016 на образе Nano Server. Этот параметр развертывания доступен, если вы используете DNS на основе файлов. Запустив DNS-сервер на образе Nano Server, вы можете использовать DNS-серверы с уменьшенным объемом использования ресурсов, быстрой загрузкой и минимальными обновлениями.

Примечание.

Интегрированная служба Active Directory DNS не поддерживается на Сервере Nano Server.

DNS-клиент

Служба DNS-клиента теперь обеспечивает расширенную поддержку компьютеров с несколькими сетевыми интерфейсами.

Многодомовые компьютеры также могут использовать привязку службы DNS-клиента для улучшения разрешения сервера:

  • При использовании DNS-сервера, настроенного в определенном интерфейсе для разрешения DNS-запроса, DNS-клиент привязывается к интерфейсу перед отправкой запроса. Эта привязка позволяет DNS-клиенту указать интерфейс, в котором должно выполняться разрешение имен, оптимизируя обмен данными между приложениями и DNS-клиентом через сетевой интерфейс.

  • Если DNS-сервер, который вы используете, был назначен параметром групповой политики из таблицы политики разрешения имен (NRPT), служба DNS-клиента не привязывается к указанному интерфейсу.

Примечание.

Изменения в службе DNS-клиента в Windows 10 также присутствуют на компьютерах под управлением Windows Server 2016 и более поздних версий.

Службы удаленного рабочего стола

Службы удаленных рабочих столов (RDS) внесли следующие изменения для Windows Server 2016.

Совместимость приложений

RDS и Windows Server 2016 совместимы со многими приложениями Windows 10, создавая интерфейс пользователя, почти идентичный физическому рабочему столу.

База данных SQL Azure

Брокер подключений удаленного рабочего стола (RD) теперь может хранить все данные о развертывании, такие как статусы подключений и сопоставление пользователей хостам, в общей базе данных на базе SQL Azure. Эта функция позволяет использовать высокодоступную среду без использования группы доступности AlwaysOn SQL Server. Дополнительные сведения см. в статье "Использование базы данных SQL Azure для среды высокого уровня доступности брокера подключений к удаленному рабочему столу".

Графические улучшения

Дискретное назначение устройств для Hyper-V позволяет сопоставлять единицы обработки графики (GPU) на хост-компьютере непосредственно с виртуальной машиной. Приложения на виртуальной машине, которым требуется больше графической мощности, чем может предоставить сама машина, могут использовать вместо этого подключённый GPU. Мы также улучшили виртуальные машины RemoteFX vGPU, включая поддержку OpenGL 4.4, OpenCL 1.1, разрешение 4K и виртуальные машины Windows Server. Дополнительные сведения см. в разделе "Дискретное назначение устройства".

Улучшения брокера подключений к удаленным рабочим столам

Мы улучшили способ, которым брокер подключений для удаленных рабочих столов обрабатывает подключения во время всплесков входа, которые являются периодами увеличенного числа запросов на вход от пользователей. Брокер подключений RDP теперь может обрабатывать более 10 000 одновременных запросов на вход! Улучшения обслуживания также упрощают обслуживание развертывания, быстро добавляя серверы в среду после того, как они будут готовы вернуться в сеть. Дополнительные сведения см. в разделе "Улучшенная производительность брокера подключений к удаленному рабочему столу".

Изменения протокола RDP 10

Протокол удаленного рабочего стола (RDP) 10 теперь использует кодек H.264/AVC 444, который оптимизирует как видео, так и текст. Этот выпуск также включает поддержку удаленного управления пером. Эти новые возможности позволяют удаленному сеансу чувствовать себя как локальный сеанс. См. улучшения RDP 10 для AVC/H.264 в Windows 10 и Windows Server 2016 для получения дополнительной информации.

Персональные сеансовые рабочие столы

Личные рабочие столы сеансов — это новая функция, которая позволяет размещать собственный личный рабочий стол в облаке. Права администратора и выделенные узлы сеансов удаляют сложность сред размещения, в которых пользователи хотят управлять удаленным рабочим столом, например локальным рабочим столом. Дополнительные сведения см. в разделе "Личные рабочие столы сеансов".

Проверка подлинности Kerberos

Windows Server 2016 включает следующие обновления для проверки подлинности Kerberos.

Поддержка KDC для проверки подлинности клиента на основе открытого ключа

Центры распространения ключей (KDCs) теперь поддерживают сопоставление открытых ключей. Если вы подготавливаете открытый ключ для учетной записи, KDC явно поддерживает Kerberos PKInit, используя этот ключ. Так как проверка сертификатов отсутствует, Kerberos поддерживает самозаверяющие сертификаты, но не поддерживает гарантии механизма аутентификации.

Учетные записи, настроенные для использования доверия ключей, будут использовать только доверие ключей независимо от того, как вы настроили параметр UseSubjectAltName.

Поддержка клиента Kerberos и KDC для расширения PKInit Freshness RFC 8070

Начиная с Windows 10 версии 1607 и Windows Server 2016, клиенты Kerberos могут использовать расширение исправности PKInit по стандарту RFC 8070 для входа с использованием открытого ключа. KDCs имеют расширение свежести PKInit, отключенное по умолчанию, поэтому чтобы включить его, необходимо настроить поддержку KDC для политики административных шаблонов PKInit Freshness Extension KDC на всех контроллерах домена.

Политика имеет следующие параметры, доступные, если домен находится на функциональном уровне домена Windows Server 2016 (DFL):

  • Отключено: KDC никогда не предлагает расширение PKInit Freshness и принимает действительные запросы аутентификации без проверки свежести. Пользователи не получают свежий идентификационный SID открытого ключа.
  • Поддерживается: Kerberos поддерживает расширение PKInit Freshness по запросу. Клиенты Kerberos, успешно проходящие проверку подлинности с помощью расширения обеспечения свежести данных PKInit, получают SID нового открытого ключа.
  • Обязательный: для успешной проверки подлинности требуется расширение PKInit Freshness. Клиенты Kerberos, не поддерживающие расширение PKInit Freshness, всегда сталкиваются с ошибкой при использовании учетных данных открытого ключа.

Поддержка устройства, присоединенного к домену, для проверки подлинности с помощью открытого ключа

Если присоединенное к домену устройство может зарегистрировать связанный открытый ключ с контроллером домена Windows Server 2016 (DC), устройство может пройти проверку подлинности с помощью открытого ключа с помощью проверки подлинности Kerberos PKInit в контроллере домена Windows Server 2016.

Присоединенные к домену устройства с привязанными открытыми ключами, зарегистрированными в контроллере домена Windows Server 2016, теперь могут пройти проверку подлинности на контроллере домена Windows Server 2016 с помощью протоколов Шифрования открытого ключа Kerberos для начальной проверки подлинности (PKInit). Дополнительные сведения см. в разделе проверки подлинности открытого ключа устройства, присоединенного к домену.

Центры распространения ключей (KDCs) теперь поддерживают проверку подлинности с помощью доверия ключей Kerberos.

Дополнительные сведения см. в разделе поддержка KDC для сопоставления учетных записей с доверием на основе ключей.

Клиенты Kerberos разрешают использовать имена узлов IPv4 и IPv6 в именах главных служб (SPN).

Начиная с Windows 10 версии 1507 и Windows Server 2016, можно настроить клиент Kerberos для поддержки имен узлов IPv4 и IPv6 в SPN. Дополнительные сведения см. в разделе "Настройка Kerberos для IP-адресов".

Чтобы настроить поддержку имен хостов на основе IP-адресов в SPN, создайте запись TryIPSPN. Эта запись не существует в реестре по умолчанию. Эту запись следует разместить по следующему пути:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

После создания записи измените значение DWORD на 1. Если это значение не настроено, Kerberos не будет пытаться использовать IP-адреса как имена узлов.

Аутентификация Kerberos завершается успешно, только если SPN зарегистрирован в Active Directory.

Поддержка KDC для сопоставления учетных записей ключевого доверия

Теперь контроллеры домена поддерживают сопоставление учетных записей по доверенным ключам и возможность использования существующих altSecID и имени участника-пользователя (UPN) в качестве запасного варианта в поведении SAN. Для переменной UseSubjectAltName можно настроить следующие параметры:

  • Если переменной присвоено значение 0, требуется явное сопоставление. Пользователи должны использовать значение "Доверие ключей" или задать переменную ExplicitAltSecID.

  • При задании переменной значение 1, являющееся значением по умолчанию, допускается неявное сопоставление.

    • Если настроить доверие ключей для учетной записи в Windows Server 2016 или более поздней версии, KDC использует KeyTrust для сопоставления.

    • Если в SAN нет унифицированного имени пользователя, KDC пытается использовать AltSecID для выполнения сопоставления.

    • Если в SAN есть UPN, KDC пытается использовать UPN для сопоставления.

Службы федерации Active Directory (AD FS)

AD FS для Windows Server 2016 содержит следующие обновления.

Вход с помощью многофакторной проверки подлинности Microsoft Entra

AD FS 2016 основывается на возможностях многофакторной проверки подлинности (MFA) AD FS в Windows Server 2012 R2. Теперь можно разрешить вход, который требует только кода многофакторной проверки подлинности Microsoft Entra вместо имени пользователя или пароля.

  • При настройке многофакторной проверки подлинности Microsoft Entra в качестве основного метода проверки подлинности AD FS запрашивает у пользователя имя пользователя и код одноразового пароля (OTP) из приложения Azure Authenticator.

  • При настройке многофакторной аутентификации Microsoft Entra в качестве вторичного или дополнительного метода, пользователь предоставляет учетные данные для первичной аутентификации. Пользователи могут войти с помощью встроенной проверки подлинности Windows, которая может запросить имя пользователя и пароль, смарт-карту или сертификат пользователя или устройства. Затем пользователь видит запрос на дополнительные учетные данные, такие как текст, голос или вход с использованием Microsoft Entra на основе OTP для многофакторной аутентификации.

  • Новый встроенный адаптер многофакторной аутентификации Microsoft Entra предлагает более простую настройку и конфигурацию для многофакторной аутентификации Microsoft Entra в AD FS.

  • Организации могут использовать многофакторную проверку подлинности Microsoft Entra без необходимости локального сервера многофакторной проверки подлинности Microsoft Entra.

  • Вы можете настроить многофакторную проверку подлинности Microsoft Entra для интрасети, экстрасети или в рамках любой политики управления доступом.

Дополнительные сведения о многофакторной проверке подлинности Microsoft Entra с помощью AD FS см. в статье "Настройка многофакторной проверки подлинности AD FS 2016" и "Многофакторная проверка подлинности Microsoft Entra".

Доступ без пароля с совместимых устройств

AD FS 2016 основан на предыдущих возможностях регистрации устройств, чтобы обеспечить вход в систему и управление доступом для устройств в зависимости от их соблюдения соответствующих требований. Пользователи могут выполнять вход с помощью учетных данных устройства, а AD FS повторно оценивает соответствие при изменении атрибутов устройства, чтобы гарантировать применение политик. Эта функция включает следующие политики:

  • Включите доступ только с устройств, управляемых и /или совместимых.

  • Включите доступ экстрасети только с устройств, управляемых и /или совместимых.

  • Требовать многофакторную проверку подлинности для компьютеров, которые не управляются или не соответствуют требованиям.

AD FS предоставляет локальный компонент политик условного доступа в гибридном сценарии. При регистрации устройств в Azure AD для условного доступа к облачным ресурсам можно также использовать удостоверение устройства для политик AD FS.

Схема гибридного решения и связей между пользователями и локальным Active Directory.

Дополнительные сведения об использовании условного доступа на основе устройств в облаке см. в статье об условном доступе Azure Active Directory.

Дополнительные сведения об использовании условного доступа на основе устройств с AD FS см. в статьях "Планирование условного доступа на основе устройств с помощью AD FS" и "Политики контроля доступа в AD FS".

Вход с помощью Windows Hello для бизнеса

Устройства Windows 10 представляют Windows Hello и Windows Hello для бизнеса, заменяя пароли пользователей строгими учетными данными пользователя, привязанными к устройству, защищенными жестом пользователя, например вводом ПИН-кода, биометрическим жестом, например отпечатком пальца или распознаванием лиц. С помощью Windows Hello пользователи могут входить в приложения AD FS из интрасети или экстрасети, не требуя пароля.

Дополнительные сведения об использовании Windows Hello для бизнеса в организации см. в разделе "Включение Windows Hello для бизнеса в организации".

Современная аутентификация

AD FS 2016 поддерживает новейшие современные протоколы, которые обеспечивают лучший пользовательский интерфейс для Windows 10 и последних устройств и приложений iOS и Android.

Дополнительные сведения см. в сценариях AD FS для разработчиков.

Настройка политик управления доступом без изучения языка правил утверждений

Ранее администраторы AD FS должны были настроить политики с помощью языка правил утверждений AD FS, что затрудняет настройку и обслуживание политик. С помощью политик управления доступом администраторы могут использовать встроенные шаблоны для применения общих политик. Например, можно использовать шаблоны для применения следующих политик:

  • Разрешить доступ к интрасети только.

  • Разрешить всем пользователям и требовать многофакторную проверку подлинности из экстрасети.

  • Разрешить всем пользователям и требовать многофакторную проверку подлинности для определённой группы.

Шаблоны легко настраивать. Вы можете применить дополнительные исключения или правила политики, и эти изменения можно применить к одному или нескольким приложениям для согласованного применения политик.

Дополнительные сведения см. в политиках управления доступом в AD FS.

Включить вход с использованием каталогов LDAP, не являющихся AD

Многие организации объединяют Active Directory с сторонними каталогами. Поддержка AD FS для проверки подлинности пользователей, хранящихся в каталогах протокола LDAP версии 3, позволяет использовать AD FS в следующих сценариях:

  • Пользователи в сторонних, соответствующих LDAP v3 каталогах.

  • Пользователи, которые находятся в лесах AD, у которых нет настроенного двустороннего доверия AD.

  • Пользователи в службах упрощенного каталога Active Directory (AD LDS).

Дополнительные сведения см. в разделе Настройка AD FS для аутентификации пользователей, размещенных в LDAP каталогах.

Настройка интерфейса входа для приложений AD FS

Ранее AD FS в Windows Server 2012 R2 предоставлял общий интерфейс входа для всех приложений проверяющей стороны с возможностью настройки подмножества содержимого на основе текста для каждого приложения. Начиная с Windows Server 2016, вы можете настраивать не только сообщения, но и изображения, эмблемы, а также веб-темы отдельно для каждого приложения. Кроме того, вы можете создавать новые веб-темы на заказ и применять их для каждого пользователя.

Дополнительные сведения см. в разделе о настройке входа пользователей AD FS.

Упрощенный аудит для облегчения административного управления

В предыдущих версиях AD FS один запрос может создавать множество событий аудита. Соответствующая информация о действиях при входе в систему или выдачи токенов часто отсутствует или разбросана по нескольким событиям аудита, что затрудняет анализ проблем. В результате события аудита были отключены по умолчанию. Тем не менее, в AD FS 2016 процесс аудита более упрощен и удобнее найти соответствующую информацию. Дополнительные сведения см. в статье об усовершенствованиях аудита AD FS в Windows Server 2016.

Улучшение взаимодействия с SAML 2.0 для участия в конфедерациях

AD FS 2016 содержит больше поддержки протокола SAML, включая поддержку импорта доверия на основе метаданных, содержащих несколько сущностей. Это изменение позволяет настроить AD FS для участия в конфедерациях, таких как Федерация InCommon и другие реализации, соответствующие стандарту eGov 2.0.

Дополнительные сведения см. в разделе "Улучшенная совместимость с SAML 2.0".

Упрощенное управление паролями для федеративных пользователей Microsoft 365

Вы можете настроить AD FS для отправки утверждений о сроке действия пароля любой доверяющей стороне или приложениям, которые он защищает. Способ отображения этих утверждений зависит от приложений. Например, если проверяющая сторона — Office 365, в Exchange и Outlook реализованы обновления для уведомления федеративных пользователей о скором истечении срока действия пароля.

Дополнительные сведения см. в разделе "Настройка AD FS для отправки утверждений о сроке действия пароля".

Переход с AD FS в Windows Server 2012 R2 на AD FS в Windows Server 2016 стал проще

Ранее миграция на новую версию AD FS требовала экспорта параметров конфигурации из фермы Windows Server в новую параллельную ферму серверов. AD FS в Windows Server 2016 упрощает процесс, удаляя требование к параллельной ферме серверов. При добавлении сервера Windows Server 2016 в ферму серверов Windows Server 2012 R2 новый сервер работает так же, как сервер Windows Server 2012 R2. Когда вы будете готовы к обновлению и удалили старые серверы, можно изменить операционный уровень на Windows Server 2016. Дополнительные сведения см. в разделе "Обновление до AD FS" в Windows Server 2016.